The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Удалённая уязвимость в прослойке Shim, позволяющая обойти UEFI Secure Boot

26.01.2024 14:04

В прослойке Shim, применяемой в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot, выявлена уязвимость (CVE-2023-40547), которая может привести к удалённому выполнению кода и обходу механизма верифицированной загрузки UEFI Secure Boot. Атакующий, контролирующий HTTP-сервер, к которому обращается Shim, может вернуть специально оформленный ответ, приводящий к контролируемой записи в область за границу буфера для организации выполнения кода на раннем этапе загрузки.

Уязвимость вызвана ошибкой в коде загрузки файлов по HTTP, которая проявляется при обработке некорректных ответов, возвращённых HTTP-сервером, к которому обращается shim. Режим HTTPBoot в Shim поддерживается с 2016 года и позволяет организовать загрузку по сети, используя протокол HTTP для извлечения файла c загрузчиком, вызываемым на следующем этапе. Shim при загрузке файлов через HTTP выделяет буфер для принимаемых данных, учитывая не фактический размер данных, а размер, указанный в HTTP-заголовке "Content-Length". Соответственно, вернув в заголовке Content-Length меньшее значение, можно добиться записи хвоста запроса в память за границей буфера.

Shim заверен цифровой подписью Microsoft и верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимость в Shim даёт возможность вклиниться в цепочку доверия при активном режиме Secure Boot и получить полный контроль над дальнейшим процессом загрузки, например, для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Уязвимость устранена в выпуске Shim 15.8, но для полного блокирования атаки через Shim требуется заверение новой версии в Microsoft и внедрение её в дистрибутивах. Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Проблема состоит в том, что без отзыва подписи к старой версии исправление бессмысленно, так как атакующий может для компрометации UEFI Secure Boot использовать загрузочный носитель с уязвимым выпуском Shim. Но отзыв подписи приведёт к невозможности верифицированной загрузки дистрибутивов, продолжающих использовать старый выпуск Shim.

Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux. SBAT разработан совместно с Microsoft и подразумевает добавление в исполняемые файлы компонентов UEFI дополнительных метаданных, которые включают информацию о производителе, продукте, компоненте и версии. Указанные метаданные заверяются цифровой подписью и могут отдельно включаться в списки разрешённых или запрещённых компонентов для UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов.

Кроме рассмотренной уязвимости в Shim 15.8 также исправлено несколько менее опасных проблем, эксплуатируемых локально:

  • CVE-2023-40548 - целочисленное переполнение в функции verify_sbat_section, приводящее к переполнению буфера на 32-разрядных системах.
  • CVE-2023-40546 - чтение из области памяти вне буфера при выводе сообщений об ошибках через функцию LogError().
  • CVE-2023-40549 - чтение из области памяти вне буфера при обработке в функции verify_buffer_authenticode() специально оформленного файла в формате PE.
  • CVE-2023-40550 - чтение из области памяти вне буфера в функции verify_buffer_sbat().
  • CVE-2023-40551 - чтение из области памяти вне буфера при разборе файлов в формате MZ.


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Intel развивает виртуальную прошивку TD-Shim, написанную на Rust
  3. OpenNews: Обзор отличий UEFI Secure Boot загрузчика Shim и решения от Linux Foundation
  4. OpenNews: Организация Linux Foundation выпустила решение для поддержки UEFI Secure Boot в любых дистрибутивах
  5. OpenNews: Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
  6. OpenNews: Уязвимость в NTFS-драйвере из состава GRUB2, позволяющая выполнить код и обойти UEFI Secure Boot
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60501-shim
Ключевые слова: shim, uefi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (114) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 14:13, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И опять, и снова, и снова опять... 🤦‍♂️
     
     
  • 2.68, Жижа (?), 18:04, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Самый безопасный компьютер - выключенный, не мучайте себя.
     
     
  • 3.104, Pahanivo пробегал (?), 21:21, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Отключенный - выключенный (stand-by) не безопасен на 100%, ибо интерфейсы некоторые включены.
     
     
  • 4.156, Онтоним (?), 23:34, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И батарейка не вынимается.
     
  • 2.100, Аноним (-), 20:58, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я все понимаю, но...

    > Уязвимость вызвана ошибкой в коде загрузки файлов по HTTP

    ...но зачем вот ЭТО засовывать в начальный лоадер? А, чтобы чинить было больнее, подписей отзывать пожестче и вообще? А хотя-бы в следующую стадию, подписаную каким-то своим мелким ключом это включить - умишка не хватило?

     
     
  • 3.122, n00by (ok), 07:32, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы в итоге по требованию трудящихся удалить этот вечно проблемный shim. WSL2 хватит всем.
     
  • 3.125, Анонимщик (?), 09:25, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что http сервер есть у каждого, а tftp надо специально поднимать.
     
     
  • 4.127, нах. (?), 09:38, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У tftp (серверов) в большинстве реализаций - проблемы с файлами больше 32mb
    У даже самых продвинутых и в идеальной сети без маршрутизации - лимит 4G т.е. меньше образа dvd с not-so-live бубунточкой.

    Т.е. в реальной жизни чаще не работает чем работает. Этот протокол был предназначен для передать максимум вот что-то размером с код grub'а пока более сложные негде разместить в недоиниченой памяти или более сложные протоколы неоткуда запускать.

    Уже даже цискины образы стало общепринятым грузить по ftp или http.

    С разморозочкой, в общем. Оно так уже лет 15.

     
     
  • 5.149, ryoken (ok), 07:51, 29/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> У tftp (серверов) в большинстве реализаций - проблемы с файлами больше 32mb

    А как же у меня дома по PXE с OpenMediaVault всякие Parted Magic-и и ие с ними запускаются? Размеры от 700 Мб часто.

     

  • 1.3, Карлос Сношайтилис (ok), 14:18, 26/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –15 +/
     
     
  • 2.4, Аноним (4), 14:24, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +10 +/
     
     
  • 3.11, Аноним (-), 14:37, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.17, Аноним (4), 14:41, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 5.18, Аноним (4), 14:44, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 6.20, Аноним (4), 14:45, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.22, Аноним (-), 14:48, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.26, Аноним (4), 14:54, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.31, Карлос Сношайтилис (ok), 15:00, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.34, Аноним (-), 15:07, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.77, Аноним (77), 18:38, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.21, Карлос Сношайтилис (ok), 14:46, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.12, Аноним (-), 14:38, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.29, нах. (?), 14:59, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 3.32, Карлос Сношайтилис (ok), 15:03, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.36, нах. (?), 15:09, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.48, Карлос Сношайтилис (ok), 15:41, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.54, Аноним (54), 16:20, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 5.51, Аноним (-), 15:56, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.74, Аноним (77), 18:31, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.35, morphe (?), 15:09, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.39, нах. (?), 15:11, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.40, Карлос Сношайтилис (ok), 15:13, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.41, Аноним (-), 15:13, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.59, Аноним (59), 16:57, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +6 +/
     
     
  • 3.65, Аноним (-), 17:27, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (25)

  • 1.13, YetAnotherOnanym (ok), 14:39, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > HTTP-сервер, к которому обращается Shim

    Какая прелесть!

     
     
  • 2.66, Аноним (66), 17:39, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже не понял: при чём здесь какой-то сервер (тем более http) при загрузке?
     
  • 2.117, Аноним (117), 23:54, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот я понял при чем тут удаленный HTTP сервер, но не понятно зачем какие то переполнения, если загрузчи!!! передается по сети в нешифрованном виде! Да можно простым MITMом скормить такому серваку руткит и не париться с переполнениями.
    ЗЫ1 Попробуйте защититься от этого с помощью RUSTа
    ЗЫ2 Попробуйте устроить ремотную уязвимость для lilo :)
     
     
  • 3.155, Электрон (?), 07:13, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.15, Аноним (-), 14:40, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Итого 4 "чтения из области памяти вне буфера" и 1 целочисленное переполнение...

    Вспоминается картинка с девушкой на диване, только на ее месте будет пользователь)
    Спасибо СИ, за то что ты есть!
    И главное в комментах будет полно народу который скажет "ничего страшного, ну подумаешь уязвимость"

     
     
  • 2.55, Аноним (54), 16:22, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты что, уязвимостей не видел? или видел и боялся?
     
     
  • 3.67, Аноним (-), 17:50, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ты что, уязвимостей не видел? или видел и боялся?

    Я смотрел на них с высшей степенью отвращения как на доказательство ограниченности "венца эволюции".
    Как в прочем и на сам код.

     
  • 2.113, vitalif (ok), 23:24, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уязвимость в секукакурбуте это не баг а фича, помогает свободе
     

  • 1.16, Аноним (16), 14:40, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT

    Но конечно же они этого не делают, ибо куда там 2.5 васянам, из федоры и каноникла до современных решений, в остальных дистрах и этих васянов нет

     
     
  • 2.25, Аноним (25), 14:53, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут есть хоть один человек со включённым секюрбутом?
     
     
  • 3.37, Карлос Сношайтилис (ok), 15:09, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем его отключать? Он не мешает, так-то. И shim не нужен для загрузки.
     
     
  • 4.46, AlexYeCu_not_logged (?), 15:20, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А зачем его отключать? Он не мешает, так-то.

    Вообще-то как раз мешает: вынуждает добавлять ключи для загружаемых дистров через интерфейс, созданный анхуманми для анхуманов.

     
     
  • 5.49, Карлос Сношайтилис (ok), 15:43, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если задача установки дистров возникает регулярно, то согласен, проще отключить.
     
     
  • 6.81, AlexYeCu (ok), 18:51, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Если задача установки дистров возникает регулярно, то согласен, проще отключить.

    Про live-usb слыхал?

     
     
  • 7.83, Карлос Сношайтилис (ok), 18:59, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что-то знакомое... Кажется это то, что используют каждый день, потому что очень удобно.
     
  • 3.71, аллоним (?), 18:13, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня вааще загрузчик залочен.
     

  • 1.24, Аноним (-), 14:53, 26/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     
     
  • 2.28, нах. (?), 14:58, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     

  • 1.42, Аноним (42), 15:15, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    It is a common piece of code that is safe, well-understood and audited so that it can be trusted and signed using platform keys
     
     
  • 2.45, Аноним (-), 15:19, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там точно написано piece of code ?
    Потому что, судя по новости, там словом ошиблись...

    Зато теперь мы знаем что значит "safe, well-understood and audited" в понимании авторов shim'a)

     
     
  • 3.69, Жижа (?), 18:07, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И что вам это знание даёт? Откажетесь от его использования?
     

  • 1.47, Аноним (47), 15:24, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И опять, оказывается, из-за невнимательности программирования на сишке.
     
     
  • 2.53, Аноним (53), 16:09, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, что едой не торгуют?
     
  • 2.90, Аноним (90), 19:45, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну при чем тут сишка?
    >выделяет буфер для принимаемых данных, учитывая не фактический размер данных, а размер, указанный в HTTP-заголовке "Content-Lenght"

    Люди продолжают слепо верить тому, что написано на заборе, а не своим глазам (а за забором дрова) и ни какой ЯП этого не исправит.

     

  • 1.50, InuYasha (??), 15:53, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > возвращённых HTTP-сервером, к которому обращается shim

    Погодите... а зачем Шиму вообще HTTP-сервер!?!? Это разве не три байта чтобы ключом микрософта подписаться?

     
  • 1.52, Аноним (53), 16:08, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ">Shim заверен цифровой подписью Microsoft

    Точка"

    У вас есть что предложить? )

     
     
  • 2.56, Аноним (54), 16:23, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    форк с другим названием и запросить другую подпись
     
     
  • 3.72, Аноним (-), 18:19, 26/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 3.94, Аноним (94), 20:30, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что непонятного в слове предложить? )
     

  • 1.57, Аноним (57), 16:31, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понял, он каждый раз при загрузке куда-то ломится в сеть по дефолту? На сервера МС? Или это опциоальное поведение?
     
  • 1.58, Bottle (?), 16:31, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Если бы программисты строили дома, то первый залетевший дятел разрушил бы всю цивилизацию.
     
     
  • 2.95, Аноним (94), 20:32, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не так уж и много подождать осталось )
     

  • 1.73, penetrator (?), 18:21, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    EFI модули давно подписаны кричали они

    P.S. хуже незащищенной системы, только иллюзия защищенной

     
  • 1.80, Аноним (-), 18:50, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot

    Вот поэтому секурбут нужно отключать. Я ещё лет 10 назад тут писал, что вреда от него больше, чем пользы.

     
     
  • 2.84, Аноним (84), 18:59, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    польза от него только микрософту, чтобы кроме винды ничо не ставили.
     

  • 1.82, Аноним (84), 18:59, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    т.е. некий вражеский код уже грузится по http и, удивительным образом, этого недостаточно чтобы контухтер был не ваш, и он ещё и может обойти секуре бут.
    ну прям дыра :-)
     
  • 1.85, Аноньимъ (ok), 19:09, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Shim заверен цифровой подписью Microsoft и

    Что могло пойти не так?

    > Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT
    > SBAT разработан совместно с Microsoft

    Ok.

     
     
  • 2.91, Аноним (-), 19:57, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Что могло пойти не так?

    А разве этот Shim мелкомягкие писали? Вроде нет... Так что не нужно на них всех собак вешать.

    > In the event that the developers need to be contacted related to a security incident or vulnerability, please mail secalert@redhat.com
    > secalert@redhat.com
    > redhat.com

    Так что не нужно на них всех собак вешать.

     
     
  • 3.133, _ (??), 19:04, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ой-вэй! Ви таки мацы объелись? На платинового спонсора - собак?!?!?
    Запомните дети:
      ... и на третий день сделал Биллгёц интернет ...
      ... и на 5 день Наделал сделал линускс ...

    А бабло они во все дни делали - ну скажи что не святые?!?! :-D

     
     
  • 4.145, нах. (?), 10:33, 28/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и на седьмой день они кормили украдкой африканских детей и отдыхали в тени вышек 5G!

     

  • 1.87, Аноним (-), 19:28, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > А что интересно, криминального в вопросе, почему уязвимости, от которых Rust не защищает, в такие новости чудесным образом не попадают?

    В смысле не попадают? Сегодняшняя новость про GitLab чем тебе не подошла?
    Или LeftoverLocals? Или "Уязвимость в патчах Red Hat к загрузчику GRUB2"?

    Просто сишные дыры намного чаще приводят к уязвимостям, чем логические ошибки. И чем больше будут совершенствоваться средства тестирования, тем больше такого будут находить.
    Так что расслабься и наслаждайся зрелищем.

     
  • 1.89, Аноним (89), 19:44, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > но для полного блокирования атаки через Shim требуется заверения новой версии в Microsoft и внедрение её в дистрибутивах.

    То есть, уже всем рассказали, а исправлять будут к 25-му? Мда...
    Отключение Secure Boot хоть отключает этот Shim?

     
     
  • 2.96, Аноним (96), 20:43, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Просто даст возможность грузить неподписаные ядра. Если бы граб имеел ключ подписаный МС,то он был бы Шимом.
     
     
  • 3.99, Tron is Whistling (?), 20:51, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    grub вполне себе грузится без секурбута без всяких шимов.
     
     
  • 4.102, Аноним (96), 21:05, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Без секюрбута все умеют.Шим грузит с секюрбутом федоркины ядра.
     
     
  • 5.109, Tron is Whistling (?), 22:27, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Без секюрбута все умеют.Шим грузит с секюрбутом федоркины ядра.

    Вопрос был про отключение секурбута и гроб.

     
  • 4.106, Аноним (89), 21:30, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А refind?
     
     
  • 5.107, Аноним (96), 21:36, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Примечание. В конце 2012 года компания rEFInd добавила поддержку безопасной загрузки. По умолчанию срок действия локальных ключей безопасной загрузки, созданных сценарием refind-install, составляет 10 лет. Таким образом, если вы с самого начала использовали локальные ключи, вам может потребоваться обновить их.
     
     
  • 6.108, Аноним (89), 22:04, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, rEFInd будет работать с Secure Boot без Shim? Это же замечательно. :)
     
  • 4.134, _ (??), 19:08, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >grub вполне себе грузится без секурбута без всяких шимов.

    Без секурбута никому из здешних не упёрлось, у них там форточка без него отвалится :)

    А теперь если шим похерят Линукс окончательно займёт своё место - в WSL :-D

     
  • 2.98, Tron is Whistling (?), 20:50, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По факту можно отключить - грузите сразу grub, а не shim.
    Просто grub непосредственно для секурбута не подписан, и с секурбутом его не загрузить.
     
     
  • 3.103, нах. (?), 21:19, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > По факту можно отключить - грузите сразу grub, а не shim.

    по сети, ага.

    Стесняюсь спросить - а он вообще обучен pxe-загрузке без посторонней помощи?

     
     
  • 4.110, Tron is Whistling (?), 22:29, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не уверен, насколько PXE в EFI - "без посторонней помощи", но да, есть модули PXE для EFI.
     
  • 4.111, Tron is Whistling (?), 22:30, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В моём случае вообще не актуально - это либо виртуалки, либо бут с iSCSI.
     

  • 1.101, Аноним (-), 21:00, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для полного блокирования атаки через Shim
    > требуется заверения новой версии в Microsoft

    Это просто позор какой-то! А если майкрософт не прочухается - наслаждайтесь вулнами. Круто.

     
  • 1.105, ИмяХ (ok), 21:21, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Линукс это безопасно, линукс - это независимость от майкрософта, говорили они.
     
  • 1.114, Аноним (114), 23:25, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не совсем понятно, почему этот загрузчик подписывает Microsoft. Как х они тут забыли?
     
     
  • 2.115, Аноним (115), 23:32, 26/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не совсем понятно, почему этот загрузчик подписывает Microsoft. Как х они тут
    > забыли?

    https://www.opennet.ru/opennews/art.shtml?num=36068

     
  • 2.120, mikhailnov (ok), 03:21, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ключи Microsoft вшиваются в UEFI
     
     
  • 3.132, RANDOMIZE USR 15616 (?), 16:34, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто мешает вшить свой собственный ключ онтопикам?
     
     
  • 4.135, _ (??), 19:18, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зъисть то от зъисть ... да кто ж ему дастЬ?! (С) норот

    Не забывайте что скоро вас новый системдбуут насильно вставят по самые гланды :) По моему уже в следующей федоре обещали ...
    И вас перестанут волновать такие проблемы. M$ - разрешит - заработает, ну а нет - так и нет :)

     
     
  • 5.138, RANDOMIZE USR 15616 (?), 21:30, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Переформулируем вопрос: почему нельзя а) поставить систему, б) в процессе установки вшить свой ключ, в) включить секурбут и наслаждаться секурностью? Что мешает организовать процесс таким образом и зачем тогда всовываться мелкомягкому рылу?
     
     
  • 6.144, n00by (ok), 08:04, 28/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что это требует от mikhailnov-ых непосильного: сесть и написать код, а не тупо скопировать инсталлятор из Fedora. Объяснять они могут как угодно... Я предлагал тут одному обсудить возможную реализацию, а он взял и куда-то пропал. Готовое и отлаженное, понятное дело, с радостью сджипиэлят,  а разделять риски и ответственность почему-то религия не позволяет.
     
     
  • 7.148, Аноним (148), 22:01, 28/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.116, anonymous (??), 23:36, 26/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Узявимости UEFI подобны узявимостям TPM - читать про них одно удовольствие. Жаль что эти подписи отзывают и на новых компах уже не прокатит.
     
  • 1.119, mikhailnov (ok), 03:16, 27/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что эта дурацкая система подписывания загрузчиков у Майкрософта и Ко рушится — хорошо.
     
     
  • 2.121, n00by (ok), 07:30, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Видишь ли, её обломками засыпет не только тебя и твой "полностью автономный" (ц) дистрибутив.
     
     
  • 3.136, _ (??), 19:22, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Видишь ли - ты можешь прямо сейчас стереть ключи MS из со своего компа, при этом shim ты можешь тоже выкинуть.
    Но ведь напуркуа тебе лаптоп без форточки :) А потому будешь сосать, но возможность за загрузить винду "убьЁш котЁнка!" :)))
     
     
  • 4.137, n00by (ok), 20:45, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Могу, конечно, удалить ключи МС. И свои поставить могу, и подписать ядро могу. И shim мне для загрузки ядра вообще не нужен, как и grub. У меня ведь не его "полностью автономная" (ц) ОС.

    Кстати, какая у тебя видеокарта, что ты такой оптимистичный, встроенная? ;)

     

  • 1.123, Аноним (123), 08:22, 27/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Понапридумывали всякое, какие-то подписи, удаленный доступ к загрузчику. Ну пусть как раньше сидел бы специально обученный человек в датацентре, который будет по звонку жать на ресет. Так нет, нужна удаленка.
     
     
  • 2.128, нах. (?), 09:45, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сократили? Сочувствую. Небось опять не на той коробке нажал ресет? ("Але, саппорт - теперь у меня ДВЕ проблемы - перезагрузите зависший сервер 15/3/21 и ОТ...СЬ от сервера в 14м ряду который вы перезагрузили вместо него!")

    Но не ссы, с голоду мы с тобой на ср-ной удаленке не помрем - роботы-пылесосы в ЦОДах неактуальны, надо кому-то и шваброй возюкать.

    А там глядишь повысят - в кондиционерщики перейдем. Работа почетная и непыльная, все уважают, дорогу освобождают аж бегом, а удаленного управления даже дорогущими цодовскими системами почему-то до сих пор не изобрели.

     

  • 1.126, Анонимщик (?), 09:29, 27/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К это вообще в здравом уме может доверять полю content-length? Оно необязательно, то есть может отсутствовать, то есть проще рассчитывать, что этого поля нет вообще
     
     
  • 2.130, Аноним (130), 09:54, 27/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если ты в здравом уме, то не будешь читать более того, что прописано в Content-Length. Но здравомыслие сейчас модно заменять безопастными языками.
     

  • 1.140, Аноним (140), 21:47, 27/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто из отечественных приблуд кода к ядру поделится своим вИдением революционных течений?
     
     
  • 2.150, Аноним (-), 10:46, 29/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В основную ветку ядра Linux принято более двухсот исправлений Технологического центра исследования безопасности ядра Linux!
    Со списком всех принятых исправлений можно ознакомиться по ссылке: https://portal.linuxtesting.ru/LVCImprovements.html#fixed-bugs
     
     
  • 3.151, пох. (?), 19:19, 29/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О, скрепный сайт с сертификатом от товарищмайора.

    Ну ок, мы не брезгливые (более странно что небрезгливы и майнтейнеры ведра, опыт "исследователей" из родного американского универа их ничему не научил, похоже), тык:

    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=

    извините, и вот на ЭТО вы пилите госбюджет?!

     
     
  • 4.152, пох. (?), 19:22, 29/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    извините еще раз - был не прав, вспылил, невнимательно посмотрел - глянул только код вместо описания.

    Товарищмайор, ваша служба и опасна и трудна! Простите за неуместное недоверие.

    Интересно, это мне вот так повезло с первого тыка, или там ВСЕ патчи такие и среди них спрятана парочка поинтереснее?

    Ну и что я должен думать о майнтейнерах ведра - тут за это банят.

     
     
  • 5.153, n00by (ok), 07:38, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет:

    "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание - моё)

    "я вам что, студент что ли? Я кандидат наук.
    Потрудитесь немного хотя бы, пользоваться поисковиком.
    http://linuxtesting.ru/astraver "

    "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его частью"

    (ц) Lord Kunzite

     
     
  • 6.157, Денис (??), 16:00, 07/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет:
    > "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание
    > - моё)
    > "я вам что, студент что ли? Я кандидат наук.
    > Потрудитесь немного хотя бы, пользоваться поисковиком.
    > http://linuxtesting.ru/astraver "
    > "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его
    > частью"
    > (ц) Lord Kunzite

    а можете поделиться ссылкой на эти опусы? Особенно про кандидата наук интересно

     
     
  • 7.158, n00by (ok), 08:54, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет:
    >> "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание
    >> - моё)
    >> "я вам что, студент что ли? Я кандидат наук.
    >> Потрудитесь немного хотя бы, пользоваться поисковиком.
    >> http://linuxtesting.ru/astraver "
    >> "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его
    >> частью"
    >> (ц) Lord Kunzite
    > а можете поделиться ссылкой на эти опусы? Особенно про кандидата наук интересно

    Вот на сообщение о кандидатстве в науки https://vk.com/wall-91765504_25234?reply=25279&thread=25238
    К сожалению, он так и не ответил, в каких науках допустимо называть статический анализ формальной верификацией, и почему факт верификации модуля ядра (драйвера) СЗИ Астры позволяет говорить о верификации всего ядра, когда модуль якобы не является частью ядра.

     
  • 4.154, Аноним (-), 10:57, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что поделать-то? DANE в браузеры так и не встроили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру