Linux對(duì)Grub2的BootHole漏洞修補(bǔ)不利

上周，安全廠商宣布了Grub2安全啟動(dòng)程序中的BootHole漏洞，但是他們?cè)谛扪a(bǔ)了許多Linux操作系統(tǒng)和一些云計(jì)算公司后未能啟動(dòng)。

BootHole漏洞編號(hào)CVE-2020-10713，一旦遭成功開(kāi)采，可讓黑客寫(xiě)入任意程序代碼、置換成惡意bootloader程序，弱化UEFI Secure Boot的安全開(kāi)機(jī)驗(yàn)證，而使得惡意程序得以入侵計(jì)算機(jī)。由于所有Linux都包含Grub2，因此上周多家Linux發(fā)行版商包括Red Hat、Canonical、SUSE、Debian及Oracle相繼修補(bǔ)漏洞。

Red Hat上周先行發(fā)布新版grub2后，隨即發(fā)出公告要客戶(hù)暫停更新，因?yàn)榘l(fā)生安裝后導(dǎo)致系統(tǒng)無(wú)法開(kāi)機(jī)的問(wèn)題。確定影響版本包括RHEL 7.8、RHEL 8.2，但也可能影響RHEL 7.9和8.1版。

另外，安全研究人員Kevin Beaumont則指出，這個(gè)問(wèn)題也造成Azure及Digital Ocean等云計(jì)算企業(yè)，以及一些使用舊版BIOS的本地部署系統(tǒng)無(wú)法開(kāi)機(jī)。

Beaumont說(shuō)，這問(wèn)題和2018年修補(bǔ)Meltdown、Spectre漏洞引發(fā)的新災(zāi)難類(lèi)似。許多Linux操作系統(tǒng)安裝修補(bǔ)程序后，出現(xiàn)無(wú)法開(kāi)機(jī)及性能問(wèn)題大降的混亂狀況。Capsule8副總裁Kelly Shortridge則解釋?zhuān)@是因?yàn)樯现蹷ootHole漏洞修補(bǔ)涉及操作系統(tǒng)、微軟及相關(guān)開(kāi)源項(xiàng)目的協(xié)同，第一波并未按照應(yīng)用的順序?qū)е孪到y(tǒng)流程錯(cuò)亂。

同樣的問(wèn)題也出現(xiàn)在CentOS及Ubuntu、Debian及Mint。不過(guò)Ars Technica報(bào)道，CentOS和Ubuntu已經(jīng)發(fā)布沒(méi)有問(wèn)題的grub2版本。Red Hat也已在周一(8/3)發(fā)布新版本grub2解決問(wèn)題。