Die jüngste Version des Linux-Bootloaders Grub 2.06 unterstützt nun Boot-Partitionen, die mit LUKS2 verschlüsselt sind. Das Update enthält außerdem mehrere Bugfixes und Sicherheitserweiterungen. Seit knapp zwei Jahren ist es die erste neue Grub-Version. Im Sommer 2020 sollte die Version eigentlich erscheinen, allerdings kam den Entwicklern eine Sicherheitslücke in die Quere.

Angreifer konnten sich über einen Bug namens BootHole in den Bootprozess einhängen und Schadcode ausführen. Linux-Distributoren sicherten zunächst ihre Grub-Pakete jeweils selbst ab. BootHole-Patches blockierten bei Red Hat, CentOS, Debian und Ubuntu Grub2. Das BootHole und BootHole2 wird offiziell erst mit der jetzt veröffentlichten Version 2.06 von Grub geschlossen.

Die Sicherheitsmodule (XSM/FLASK) des Hypervisors Xen und das Secure Boot Advanced Targeting (SBAT) wird nun von Grub 2.06 unterstützt. Die Entwickler des Bootloaders Shim haben sich letztgenannte Technik ausgedacht, um Angriffe auf den Bootprozess wie im Falle BootHoles weiter zu erschweren. Das Verfahren erachtet (vereinfacht dargestellt) veraltete Versionen eines am Bootprozess beteiligten Programms automatisch als unsicher. Grub 2.06 bietet zudem noch einen Lockdown-Mechanismus, der dem gleichnamigen Pendant des Linux-Kernels ähnelt.

Die Konfiguration Grubs ist von einer weiteren Sicherheitsmaßnahme betroffen. Das Kommandozeilenprogramm os-prober wird beim Einsatz des Hilfswerkzeugs grub-mkconfig mit aufgerufen. Es erkennt alle auf dem System installierten Betriebssysteme und generiert dazu automatisch passende Einträge im Bootmenü. Allerdings ist os-prober bei Grub 2.06 standardmäßig deaktiviert, da dieses Verhalten prinzipiell für einen Angriff missbraucht werden könnte.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE