Die jüngste Version des Linux-Bootloaders Grub
2.06 unterstützt nun Boot-Partitionen, die mit LUKS2 verschlüsselt
sind. Das Update enthält außerdem mehrere Bugfixes und
Sicherheitserweiterungen. Seit knapp zwei Jahren ist es die erste
neue Grub-Version. Im Sommer 2020 sollte die Version eigentlich
erscheinen, allerdings kam den Entwicklern eine Sicherheitslücke
in die Quere.
Angreifer konnten sich über einen Bug namens BootHole in den
Bootprozess einhängen und Schadcode ausführen. Linux-Distributoren
sicherten zunächst ihre Grub-Pakete jeweils selbst ab. BootHole-Patches
blockierten bei Red Hat, CentOS, Debian
und Ubuntu Grub2. Das BootHole und BootHole2 wird offiziell erst
mit der jetzt veröffentlichten Version 2.06 von Grub geschlossen.
Die Sicherheitsmodule (XSM/FLASK) des Hypervisors Xen und das Secure
Boot Advanced Targeting (SBAT) wird nun von Grub 2.06 unterstützt.
Die Entwickler des Bootloaders
Shim haben sich letztgenannte Technik ausgedacht, um Angriffe
auf den Bootprozess wie im Falle BootHoles weiter zu erschweren.
Das Verfahren erachtet (vereinfacht dargestellt) veraltete Versionen
eines am Bootprozess beteiligten Programms automatisch als unsicher.
Grub 2.06 bietet zudem noch einen Lockdown-Mechanismus, der dem
gleichnamigen Pendant des Linux-Kernels ähnelt.
Die Konfiguration Grubs ist von einer weiteren Sicherheitsmaßnahme
betroffen. Das Kommandozeilenprogramm os-prober wird beim Einsatz
des Hilfswerkzeugs grub-mkconfig mit aufgerufen. Es erkennt alle
auf dem System installierten Betriebssysteme und generiert dazu
automatisch passende Einträge im Bootmenü. Allerdings
ist os-prober bei Grub 2.06 standardmäßig deaktiviert,
da dieses Verhalten prinzipiell für einen Angriff missbraucht
werden könnte.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|