forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Oracle Linux выявлены серьёзные проблемы в реализации UEFI..."
Отправлено opennews, 16-Мрт-15 10:17

Компания Oracle объявила (https://blogs.oracle.com/wim/entry/secure_boot_support_with_...) о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на системах с UEFI, выступил (http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_b.../) с критикой  поддержки UEFI Secure Boot в Oracle Linux и указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, незаверенный цифровой подписью.

Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память ядра из пространства пользователя. В частности, кexec предоставляет возможность загрузки нового ядра из уже запущенного ядра Linux, что может быть использовано для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью.

Как известно, в Oracle Linux кроме клона ядра из состава RHEL также поставляется собственный вариант ядра Unbreakable Enterprise Kernel (http://www.opennet.ru/opennews/art.shtml?num=41398), поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для обоих ядер созданы с использование одного ключа. Если в клоне ядра RHEL при загрузке в  UEFI Secure Boot производится отключение опасных компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, что сводит на нет всю цепочку доверия. Даже при использовании ядра RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный вариант ядра с бэкдором.

Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и  является лишь порядковым номером сгенерированного в Red Hat ключа.
URL: http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_b.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=41852

Исходное сообщение
"В Oracle Linux выявлены серьёзные проблемы в реализации UEFI..." Отправлено opennews, 16-Мрт-15 10:17
Компания Oracle объявила (https://blogs.oracle.com/wim/entry/secure_boot_support_with_...) о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на системах с UEFI, выступил (http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_b.../) с критикой поддержки UEFI Secure Boot в Oracle Linux и указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, незаверенный цифровой подписью. Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память ядра из пространства пользователя. В частности, кexec предоставляет возможность загрузки нового ядра из уже запущенного ядра Linux, что может быть использовано для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью. Как известно, в Oracle Linux кроме клона ядра из состава RHEL также поставляется собственный вариант ядра Unbreakable Enterprise Kernel (http://www.opennet.ru/opennews/art.shtml?num=41398), поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для обоих ядер созданы с использование одного ключа. Если в клоне ядра RHEL при загрузке в UEFI Secure Boot производится отключение опасных компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, что сводит на нет всю цепочку доверия. Даже при использовании ядра RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный вариант ядра с бэкдором. Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и является лишь порядковым номером сгенерированного в Red Hat ключа. URL: http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_b.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=41852

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Oracle объявила (https://blogs.oracle.com/wim/entry/secure_boot_support_with_oracle) 
> о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса 
> загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), 
> один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на 
> системах с UEFI, выступил (http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_boot_support_to_its_linux_disto/) 
> с критикой  поддержки UEFI Secure Boot в Oracle Linux и 
> указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, 
> незаверенный цифровой подписью.

> Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы 
> только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, 
> при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых 
> ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных 
> компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, 
> таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память 
> ядра из пространства пользователя. В частности, кexec предоставляет возможность загрузки 
> нового ядра из уже запущенного ядра Linux, что может быть использовано 
> для обхода UEFI Secure Boot путём замены проверенного ядра на другое 
> ядро, не снабжённое цифровой подписью.

> Как известно, в Oracle Linux кроме клона ядра из состава RHEL также 
> поставляется собственный вариант ядра Unbreakable Enterprise Kernel (http://www.opennet.ru/opennews/art.shtml?num=41398), 
> поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для 
> обоих ядер созданы с использование одного ключа. Если в клоне ядра 
> RHEL при загрузке в  UEFI Secure Boot производится отключение опасных 
> компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, 
> что сводит на нет всю цепочку доверия. Даже при использовании ядра 
> RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую 
> подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный 
> вариант ядра с бэкдором.

> Интересно также то, что ключ для создания цифровой подписи для Oracle Linux 
> назван "oracle301", при том, что число 301 выбрано так как ключ 
> в RHEL тоже оканчивается на 301, но без учёта того, что 
> 301 не имеет принципиального значения и  является лишь порядковым номером 
> сгенерированного в Red Hat ключа.

> URL: http://www.theregister.co.uk/2015/03/15/oracle_adds_secure_boot_support_to_its_linux_disto/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=41852

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру