В загрузчике GRUB2 выявлена 21 уязвимость

21.02.2025 21:01

Опубликованы сведения о 21 уязвимости в загрузчике GRUB2, большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Проблемы пока устранены только в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

Выявленные уязвимости:

CVE-2024-45774: запись за границу буфера при разборе специально оформленных JPEG-изображений.
CVE-2024-45776, CVE-2024-45777: целочисленные переполнения при чтении специально оформленных mo-файлов, приводящие к записи за пределы буфера.
CVE-2024-45778, CVE-2024-45779: целочисленные переполнения при работе с повреждённой файловой системой BFS, приводящие к переполнению буфера.
CVE-2024-45780: целочисленное переполнение при обработке специально оформленных tar-архивов, приводящее к записи за пределы буфера.
CVE-2024-45781, CVE-2025-0677: переполнения буфера при работе с повреждённой файловой системой UFS.
CVE-2024-45782, CVE-2025-1125: переполнения буфера при монтировании специально оформленного раздела HFS.
CVE-2025-0622: обращение к памяти после её освобождения при манипуляциях с модулями, может привести к выполнению кода атакующего.
CVE-2025-0624: переполнение буфера при сетевой загрузке.
CVE-2025-0678: переполнения буфера при работе с повреждённой файловой системой Squash4.
CVE-2025-0684: переполнения буфера при манипуляциях с символическими ссылками в ФС Reiserfs.
CVE-2025-0685: переполнения буфера при манипуляциях с символическими ссылками в ФС JFS.
CVE-2025-0685: переполнения буфера при манипуляциях с символическими ссылками в ФС ROMFS.
CVE-2025-0689: переполнения буфера при работе со специально модифицированным разделом UDF.
CVE-2025-0690: переполнения буфера при получении специально оформленных данных с клавиатуры.
CVE-2025-1118: обход режима изоляции Lockdown и извлечение произвольного содержимого памяти через выполнение команды dump.
CVE-2024-45775: отсутствие проверки кода ошибки при выделении памяти при разборе переданных аргументов может привести к повреждению данных IVT (Interrupt Vector Table).
CVE-2024-45783: доступ по нулевому указателю при монтировании некорректной ФС HFS+.

В большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, например, для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI дополнительных метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут отдельно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

исправить +18 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62771-grub

Ключевые слова: grub, uefi, boot

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (105)

1.1, Аноним Максим (?), 21:32, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+16 +/–
"Си безопасен"

2.4, Анонимусс (-), 21:35, 21/02/2025 [^] [^^] [^^^] [ответить]	+21 +/–
> "Си безопасен" "Настоящий сишник никогда бы не допустил такую... такую 21 ошибку"

3.27, User (??), 22:15, 21/02/2025 [^] [^^] [^^^] [ответить]	+/–
Но делать ничего мы, НАСТОЯЩИЕ сишники конечно же не будем...

4.39, Аноним (39), 23:00, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
настоящие сишники на зарплате сидят и работы своей у них море, не до открытых проектов. а после всех DEI и COC и желания нет...

5.77, Wizard160888 (?), 03:06, 22/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
... и ваяют такую-же дичь

6.123, abu (?), 12:40, 22/02/2025 [^] [^^] [^^^] [ответить]	–2 +/–
пока что вижу дичь только у вас в слове =такую-же=. в школу сходите, русский язык подтяните.

5.124, Аноним (124), 12:58, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Да, как на зарплату садишься, сразу начинаешь писать без единой ошибки.

3.63, Аноним (-), 01:33, 22/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> "Настоящий сишник никогда бы не допустил такую... такую 21 ошибку" Да там такие ошибки вида "если как следует постаратся - можно устроить побег из Шоушенка". А это точно - баг вообще? :)

3.135, Аноним (135), 14:25, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Да, просто grub2 писали формошлепы, а не настоящие сишники, иначе бы все было без ошибок

2.80, qwe (??), 03:25, 22/02/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Смысла в этой фразе столько же, сколько в фразе "Rust безопасен".

2.87, Аноним (87), 08:21, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Самое безопасТное здесь это "небольшая прослойка shim, заверенная цифровой подписью Microsoft".

1.3, Анонимусс (-), 21:34, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]

+8 +/–

Хаха! Сишников решили просто добить на этой неделе!

> запись за границу буфера
> переполнения буфера
> целочисленные переполнения
> доступ по нулевому указателю
> обращение к памяти после её освобождения

Просто сишное бинго!
Вот что бывает, если пишешь на дырявых языках из середины 70х!

2.23, Аноним (23), 22:02, 21/02/2025 [^] [^^] [^^^] [ответить]	+21 +/–
Ненаписанные проги на расте не глючат знаешь почему, да?

3.38, Аноним (-), 22:59, 21/02/2025 [^] [^^] [^^^] [ответить]	–4 +/–
Потому что их писали профи, в отличии от? Тут недавно кидали ссылку - у гугла в раст коде в андроиде на 1.5 миллиона строк, ни одной ошибки по памяти.

4.97, Аноним (97), 09:11, 22/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> Потому что их писали профи Это действительно надо быть профи, чтобы написать прогу которая останется не написаной.

3.56, Аноним (56), 00:59, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> проги на расте А при чем здесь Раст?

4.130, Аноним (130), 13:46, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
NSA. Вроде, и вставить элементарно, но и спрятать затруднительно.

2.45, Ivan_83 (ok), 23:44, 21/02/2025 [^] [^^] [^^^] [ответить]	–2 +/–
И кому это всё мешало?

2.64, Аноним (-), 01:34, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> Хаха! Сишников решили просто добить на этой неделе! Дай им мастеркласс. Выкинь их софт нафиг! Вон тебе - редсдох ос какой. Без GRUB, конечно. Чем не операционка? Кушай не обляпайся.

3.101, Аноним (101), 09:19, 22/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Заметь, аноним сверху про Раст ничего не говорил. Сишникам уже ничего не сотается, кроме как приплетать Раст, чтобы отвлечь внимание от своего проблемного языка.

2.103, Аноним (103), 09:33, 22/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Верно. Был Lilo, работал идеально.

3.117, Аноним (117), 11:52, 22/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Уже лет тринадцать GRUB/GRUB2 - это дичайший пережиток прошлого, который вовсе не нужен. Когда есть UEFI-загрузчик. А использовать GRUB с поделкой от Microsoft, это как выбрать в любовницы жирафа и тянуться сразу к сексу и поцелуям. Как можно совместить несовместимое - Microsoft и безопасность? Куда проще единожды освоить подпись загрузчика собственным KEK, чем вечно сидеть с вывернутой наизнанку задницей. Для особо фанерных тоже предусмотрено решение - SecureBoot disable. GRUBля уже давно должна была отмереть.

4.125, Аноним (124), 13:12, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> Когда есть UEFI-загрузчик. А когда нет?

3.118, Аноним (117), 11:53, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Lilo - это уже даже не жираф, а какая-то медуза.

2.136, Аноним (136), 14:29, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Какие они нафиг сишники? Вы когда ни будь пробовали сами GRUB2 настраивать? Истинна говорю вам - его писали какие то наркоманы. И по тому количеству багов там я не удивляюсь. Лучше вообще не использовать груб и грузить ядро напрямую из UEFI.

1.6, Аноним (6), 21:41, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot а может не могут а может она вообще не нужна была изначально

2.119, Аноним (117), 11:56, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
SecureBoot очень полезная фича, когда взята под полный контроль. Всякие Васяны не лезут со своими модификациями системы. А Grub действительно не нужен.

3.131, Pumpkin (??), 13:48, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> SecureBoot очень полезная фича, когда взята под полный контроль. Всякие Васяны не лезут со своими модификациями системы. сначала стартует код производителя железа, ключ в OTP памяти его но ты верь что полный контроль у тебя а не у Васяна

1.7, Аноним (7), 21:43, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А точно ли можно доверять майкрософту который заставляет всех подписывать все его подписями? Верим на слово?

2.14, Аноним (-), 21:54, 21/02/2025 [^] [^^] [^^^] [ответить]

+2 +/–

> А точно ли можно доверять майкрософту который заставляет
> всех подписывать все его подписями?

Так не доверяйте. И на ноутах линух перестанет грузиться нормально.

И при чем тут мелкософт? Это разве они груб пишут? А не GNU?

3.24, Аноним (23), 22:05, 21/02/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> Так не доверяйте. И на ноутах линух перестанет грузиться нормально.
> И при чем тут мелкософт? Это разве они груб пишут? А не
> GNU?

При том что на кой его недоделанные приблуды нужны в ноутбуках... чтоб "нормально" грузить линукс. Ты нормальный вообще?

4.120, Аноним (117), 12:00, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Наш любимый малыш из ясельной группы, изучите назначение SecureBoot, чтобы не отмечаться здесь настолько пустыми вопросами. А автору выше рекомендация, выбирать ноутбуки, где вендор делает открытой модель TPM и возможность использования собственных PK, KEK и DB.

3.25, Аноним (-), 22:07, 21/02/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Почему перестанет? Подписывайте своими ключами. Вообще, если углубиться в историю (но это надо читать, это скучно, гораздо веселее распространять FUD о том, что SB это изобретение клятых майков для курощения линуксоидов), то выяснится, что Microsoft этим занимается потому, что никто другой из участников UEFI Forum не горел желанием это на себя взвалить.

4.85, Аноним (85), 06:54, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
никто другой из участников UEFI Forum, в принципе не считал, что этот вендерлок очень нужно стандартизировать.

5.121, Аноним (117), 12:03, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
А где здесь вендерлок? Вся линейка потребительской техники HP серий pro, elite и Z, не говоря уже за сервера, предоставляет открытую модель управления ключами. Dell, скорее всего, также. За китайские поделки говорить не буду. Так китайцам, в принципе, доверять - себя не уважать.

6.129, Аноним (130), 13:42, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
А что, у них в BIOS Setup в разделе Boot нельзя переключиться в режим загрузки Legacy BIOS ?

3.67, penetrator (?), 01:38, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
не включай SB

2.52, Карлос Сношайтилис (ok), 00:05, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Так не доверяй. Поменяй ключи и ничто не сможет загрузиться без подписи твоим ключом.

2.88, Аноним (87), 08:27, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Ну так, джентльмены же.

1.8, Аноним (-), 21:45, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]

+3 +/–

> Опубликованы сведения о 21 уязвимости в загрузчике GRUB2,
> большинство из которых приводят к переполнению буфера

"Ой, кто же это наделал?.. ой-ой, вот кто же это наделал??"

В треда призывается аноним Ян
opennet.ru/openforum/vsluhforumID3/136071.html#44

Ув. Ян, вы говорили что пишите на си и не допускаете таких глупых ошибок.
Вы могли бы помочь своим недалеким коллегам из GRUB и научить их?

2.122, Аноним (117), 12:05, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
А нужно ли Яну влезать в этот проект - пережиток прошлого? Или просто Вам так хочется?

1.9, Аноним (9), 21:46, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Знаете почему находят уязвимости в программах уровня GRUB2 написанных на C, но не находят в таких же написанных на Rust? Потому что программы первого вида существуют и пользуются популярностью.

2.11, НяшМяш (ok), 21:49, 21/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Причина тряски?

3.18, Аноним (9), 21:58, 21/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Причина тряски анонимов в комментариях? На это не нужна причина, нас всегда трясёт. О чём бы ни была новость. Хоть C, хоть Rust. Хоть Gnome, хоть KDE. Хоть Linux, хоть FreeBSD. Хоть Ubuntu, хоть Fedora. Хоть Valve с Team Fortress, хоть VK с Nau Engine. Зайди в любую новость - там дискотека паркинсонщиков.

3.42, Нуину (?), 23:41, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Где он не прав? Вы уже используете какой-то бутлоэдер на расте? Поделитесь?

2.31, verh010m (ok), 22:27, 21/02/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Программы второго вида, возможно, тоже существуют и в них могут находить такие же ошибки. Но знаешь, контора топит за руст и сообщение о таких вещах попахивает отрицанием холокоста

2.60, Аноним (-), 01:16, 22/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> в программах уровня GRUB2 Простите, но у груб2 уровень просто днище. Даже systemd-boot просто шикарная вещь по сравнению с этим дырявым быдлокодом, написаным в пьяном угаре какирами с мыслью "ну раз не упало, то можно и в прод"

2.66, Аноним (-), 01:36, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> но не находят в таких же написанных на Rust? Список CVE уже готов поспорить с этим смелым утверждением. Там по кейворду Rust уже СОТНИ вулнов. При том что софта еще толком никто не видел.

2.109, нах. (?), 10:41, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
так надо их просто запретить, вот и все!

1.12, Аноним (12), 21:50, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Там вроде была "уязвимость" вида "зажать del чтобы обойти secure boot", после такого ещё остались пользователи у этой шляпы? Кому она нужна в эпоху uefi, efistub ж есть?

2.28, Аноним (-), 22:22, 21/02/2025 [^] [^^] [^^^] [ответить]

+2 +/–

> Там вроде была "уязвимость" вида "зажать del

Нужно 28 раз нажать Back Space в поле с именем пользователя или паролем, после чего будет запущена консоль GRUB, из которой можно загрузить собственное ядро (например, с USB-накопителя), получить доступ к данным на дисках или повредить имеющиеся данные.
opennet.ru/opennews/art.shtml?num=43536

Новость за 2015 год, а сама проблема с декабря 2009 года.

В общем... в GRUB2 все стабильно.
Дыры на месте. Сишники тоже не изменились)))

3.34, Аноним (34), 22:44, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
в 2015 я еще лилу юзал

3.83, Аноним (83), 06:19, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Так это же хорошо, что можно загрузить другое ядро, если то, что установлено почему-то не грузится.

1.13, Аноним (13), 21:52, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если вы напишете низкоуровневые программы на rust там будет сплошной unsafe поэтому это мало что даст.

2.29, Вася Пупкин (?), 22:25, 21/02/2025 [^] [^^] [^^^] [ответить]	+/–
Почему вы никак не можете понять простую мыль из новости в новость, что не 'сплошной', а только тонкая необходимая низкоуровневая часть и та довольно сильно проверяется компиляторм

3.32, Аноним (-), 22:40, 21/02/2025 [^] [^^] [^^^] [ответить]	+5 +/–
Потому что для этого думать нужно А тут твою сишку-любимку посмели обидеть Кр... большой текст свёрнут, показать

4.41, Аноним (6), 23:30, 21/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
> Потому что для этого думать нужно)) и где можно посмотреть на твой продуманный загрузчик на расте?

4.44, Аноним (44), 23:44, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>> Почему вы никак не можете понять простую мыль из новости в новость > Потому что для этого думать нужно)) > А тут твою сишку-любимку посмели обидеть! Кровь застилает глаза и оно бежит > строчить коменты! > Лучше бы задумались как в сишке писать без таких тупых багов! > Вы патч посмотрите. Лучше бы спросить, кто из местных "сишников" держит вот это вот (ну и еще 1001 костыль "самого луДьшего ЯП!") в уме: + /* + * We do not subtract one from size here to avoid dealing with underflowing + * the value, which is why to_copy is always checked to be greater than one + * throughout this function. + */ + grub_size_t to_copy = size;

2.49, Карлос Сношайтилис (ok), 00:00, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Меняем на прикроватной тумбочке K&R на Rust Book и перестаём писать глупости. Как тебе план? unsafe в расте не равен вакханалии в С. Ансейф делает послабления но не отключает все проверки. Всеми любимый, borrow checker неотключаем. А некорректная работа с сырыми указателями вызывет панику, а не расстелит красную ковровую дорожку к левой памяти.

3.62, Аноним (6), 01:31, 22/02/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> Меняем на прикроватной тумбочке K&R на Rust Book

лучше уж

https://docs.vlang.io/introduction.html

4.73, Аноним (73), 02:54, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Может в тебя документацией 1с кинуть?

5.79, Аноним (6), 03:23, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Там ОС уже полезней ресдоха https://github.com/vlang/vinix

5.84, ВайКакПросто (?), 06:21, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Кинь. Хоть зарабатывать больше будет.

5.108, нах. (?), 10:40, 22/02/2025 [^] [^^] [^^^] [ответить]

+/–

А что, на ней уже и ос написали?!

Кидай, немедленно. На нее и переобуемся.

6.126, Аноним (130), 13:20, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Надо бы сравнить производительность ОС на 1С и на Питоне.

2.113, Аноним (124), 11:32, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
А что там в грубе низкоуровневого?

1.15, Tron is Whistling (?), 21:54, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот всё кроме CVE-2025-0624 - такое, что для этого нужно заранее в систему под рутом попасть, т.е. от обхода синекуребута уже толку нет.

2.22, Аноним (22), 21:59, 21/02/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Зато программа на расте будет опасна всегда.

3.70, Вася (??), 01:50, 22/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
>Зато программа на расте будет опасна всегда. Знаешь почему тебя заминусовали? Потому что никто не может поверить что на расте могут быть программы.

4.91, Аноним (87), 08:40, 22/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Ну почему же? Даже целая ОСь есть... Ну не целая, половина, четвертушка,...

1.26, Аноним (26), 22:14, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В загрузчике GRUB2 выявлена 21 уязвимость А ещё он медленный дико: ему для загрузки ядра обычно нужны секунды, в то время как syslinux и systemd-boot справляются за десятки-сотни мс.

2.36, Аноним (36), 22:55, 21/02/2025 [^] [^^] [^^^] [ответить]	+/–
> медленный дико Быстрый он насколько это можно, просто там драйвер графики очень очень убогий - и это сделано в угоду совместимости.

2.92, Аноним (87), 08:48, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Нашёл проблему для локалхоста, загружается, понимаете ли, секунды. А в эмбеддовке, где действительно может быть необходимо быстро, рулит Das U-boot.

1.30, мяв (?), 22:27, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
что в очередной раз подтверждает не особую нужность этой прелести, в виду существования uki/refind/sdboot. правда, каким боком grub к ядерному lockdown ? или у него там свой ?

1.40, _kp (ok), 23:11, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Ой, уязвимости. Срочно бежать исправлять?
Нет.

>>большинство.. для обхода .. загрузки UEFI Secure Boot

Создают эту часть кода, багов и подобных свистелок, как и латают, не из любви к искусству, а за оплату копоративными спонсорами.
А большинству на это пофиг.

Теперь подумаем, а кто же пишет г-код? Если для UEFI, то подозрения на Микрософт.
А если так, то новость столько о Grub, сколько о запахе от рук. ;)

1.43, Нуину (?), 23:43, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Не вижу в кодобазе grub санитайзеров и фазинга. А эти уязвимости пофиксились бы рантайм проверками границ как в расте. Оно вам надо? Ну вставьте тогда.

1.46, Аноним (46), 23:45, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это здорово и очень хорошо. Копирасты идут ... куда пошлют.

1.48, Аноним (48), 23:58, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Теперь нас будут "уговаривать", что systemd-boot - наше всё?

2.100, Аноним (100), 09:15, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Нет, просто все перейдут на systemd-boot

3.127, Аноним (130), 13:27, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Гентушники, фромскретчники, деуванщики, альпинисты не прейдут.

4.133, blkkid (?), 14:03, 22/02/2025 [^] [^^] [^^^] [ответить]

+/–

> Гентушники, фромскретчники, деуванщики,

все полтора землекопа

> альпинисты

в контейнерах нет загрузчика

1.51, Аноним (51), 00:01, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Авторы, пожалуйста указывайте когда уязвимость появилась! Какой смысл обсуждать вчерашние закладки?

1.55, Аноним (55), 00:39, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это какой-то позор?!

1.57, Аноним (57), 01:02, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ух взялись за grub. Следом пойдёт PR systemd-boot.

1.61, Аноним (61), 01:21, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
При загрузке ext4 раздела из BIOS многое из перечисленного не уязвимости вовсе. Если при сборке GRUB не добавлять всякий мусор, сократится площадь атаки.

2.107, нах. (?), 10:38, 22/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
а если вообще не собирать...

1.71, Аноним (73), 02:32, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"В загрузчике GRUB2 выявлена 21 уязвимость!" @ Внедряем GRUB2 в продуктив!

1.74, Hippopotamus (ok), 02:56, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Я уже лет десять как загружаю ядро прямо из EFI. Зачем нужен сабж несовсем понятно

2.94, Аноним (87), 08:55, 22/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Нравится собирать ядро в M$ PE-формате?

3.106, нах. (?), 10:38, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Единственный нормальный формат!

4.128, Аноним (130), 13:30, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Чего же тогда IBM AIX, HP-UX, Solaris его не взяли такой нормальный?

5.132, Аноним (124), 13:57, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
NYH

2.112, Аноним (-), 11:14, 22/02/2025 Скрыто ботом-модератором [к модератору]	+/–

1.76, Аноним (76), 02:59, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
уефи, секурибут, ключи какието понапридумывали.... уже прошивку невозможно обновить без виндовса. а какой толк от всего этого, если вирусы до сих пор пишут и под секурибутом? а при физическом доступе к компу смысл секурибута обнуляется простым кейлоггером или скринридером. биос с поддержкой дисков больше 2тб, прошивки в неперезаписываемый еепром (потому что надо сразу писать без багов) и операционки на раздельных внешних дисках - вот и всё что нужно для счастья.

2.105, Аноним (105), 10:05, 22/02/2025 [^] [^^] [^^^] [ответить]

+/–

"биос с поддержкой дисков больше 2тб, прошивки в неперезаписываемый еепром (потому что надо сразу писать без багов) и операционки на раздельных внешних дисках - вот и всё что нужно для счастья."

Неперезаписываемый еепром это наверное тот чип, у которого обломана ножка для подачи сигнала для перезаписи? Или подпаять её на переключатель! Галактико опасносте!!!

Писать без багов не получится, и даже не надо!

Связь между дисками тоже через флешку с переключателем! Галактико двойная опасносте!!!

Вы почти разрушили запланированное устаревание. Поздравляю!

1.81, Аноним (-), 04:04, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как хорошо что я перешел на systemd boot, теперь никакие агентства на три буквы меня не взломают.

2.138, Аноним (48), 14:39, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Ага, не взломают, ведь враг уже внутри.

1.86, Аноним (86), 07:18, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
"большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot" Так это не уязвимости тогда, это фичи! ))

1.96, Fracta1L (ok), 09:08, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Всё же верным решением было ливнуть на systemd-boot

1.98, Аноним (100), 09:12, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Так все же пользуются systemd-boot или нет?

2.104, Аноним (104), 10:02, 22/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
512 байт MBR хватит всем

3.134, Аноним (57), 14:08, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Нет, нужен 1mb для MBR gap.

1.116, Аноним (124), 11:44, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot Почему каждый раз это подаётся как уязвимость груба? Всё равно как если писать «этот эксплоит имеет уязвимость, позволяющую получить права root».

1.137, Да ну нахер (?), 14:31, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Мдаа, где же капитан Rast, когда он так нужен. Ах да, драма в ядре интересней, да и денег там крутится больше.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: