Für den Bootloader GNU Grub 2 wurden einige neue Sicherheitspatches veröffentlicht. Zum Teil werden sie über die Paketupdates in Linux-Distributionen ausgeliefert - eine vollständige Behebung erfordert jedoch einen Widerruf von Signaturen in UEFI Secure Boot. Dieses Vorgehen war bereits letztes Jahr zur Behebung des Fehlers "Boothole" im GNU Grub 2 nötig. Der Maintainer Daniel Kiper betont in seiner Meldung, dass ein Fix aller gefundenen Lücken jedoch aktuell nicht auf allen System praktikabel ist.

Insgesamt sollen mit dem aktuellen Update acht Schwachstellen behoben werden, welche während der Aufräumarbeiten nach "Boothole" von einigen externen Entwicklern und den Maintainern des Bootloaders entdeckt wurden. Einige der Lücken können ausgenutzt werden, um Kernel-Module ohne gültige Signatur nachzuladen - trotz aktivem Secure Boot. Der Meldung von Kiper sind nähere Informationen zu entnehmen.

Ein Update des fehlerhaften Codes allein soll zur vollständigen Behebung der Lücken nicht ausreichen - es ist auch eine zumindest teilweise Sperrung der Signaturen der anfälligen Versionen notwendig. Das Starten mit Secure Boot ist dann auf manchen Systemen aber unter Umständen nicht mehr möglich.

Spezifische Advisories von Debian, von Canonical zu Ubuntu, von Red Hat und von Suse liefern bereits konkrete Informationen zum Update-Prozess. Dass es sich bei der Behebung aller Lücken um einen längeren Prozess mit mehreren Schritten und einiger Nacharbeit handelt, wird von allen Advisories betont.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE