Актуализация на Microsoft блокира Linux-системи по целия свят
Миналата седмица доста консуматори на Linux се сблъскаха със сериозен проблем: Някои устройства стопираха да се включват обикновено след актуализация, пусната от Microsoft в границите на Patch Tuesday. Вместо естественото пускане на системата се появяло известие за неточност.
Причината беше неточност в актуализацията, която адресира 2-годишна накърнимост в GRUB - зареждащото устройство, употребявано за пускане на доста Linux устройства.
Уязвимостта CVE-2022-2601 (с CVSS оценка: 8.6) позволяваше на нападателите да заобиколят Secure Boot - стандарт за сигурност, който подсигурява, че устройствата не изтеглят злотворен програмен продукт или фърмуер по време на пускане. Уязвимостта е открита още през 2022 година, само че по незнайни аргументи Microsoft я закърпи едвам в този момент.
Актуализацията засегна устройствата с двойно пускане (dual boot), на които е конфигуриран както Windows, по този начин и Linux.
При опит за пускане на Linux потребителите се сблъскваха със известието: „ Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation ". Форумите за поддръжка и полемиките се изпълниха с изявления за казуса. Потребителите означиха, че макар уверенията на Microsoft актуализацията е засегнала системите с двойно зареждане.
Според потребителите грешката е обвързвана с несъвместимостта на някои версии на Linux boot loader с новия EFI микрокод на Microsoft. Сред засегнатите са известни дистрибуции като Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.
Microsoft към момента не е признала обществено за грешката, не е обяснила за какво тя не е била открита по време на тестванията и не е предоставила механически препоръки за засегнатите консуматори. В бюлетина за CVE-2022-2601 Microsoft увери, че актуализацията ще конфигурира SBAT - механизма на Linux за анулация на разнообразни съставни елементи в пътя за зареждане, само че единствено на устройства, работещи единствено с Windows. Актуализацията не трябваше да засегне системите с двойно зареждане. На процедура обаче се оказа, че това не е по този начин, което провокира отвращение измежду потребителите.
Някои консуматори откриха краткотрайно решение на казуса - деактивиране на Secure Boot посредством EFI панела. Този способ обаче може да не е допустим за тези, които се нуждаят от отбрана на Secure Boot. Друга опция е да се отстрани политиката SBAT, въведена от Microsoft.
Конкретни стъпки:
Изключете Secure Boot;
Влезте като консуматор на Ubuntu и отворете терминал;
Изтрийте политиката SBAT посредством командата: sudo mokutil -set-sbat-policy delete
Рестартирайте компютъра си и влезте още веднъж в Ubuntu, с цел да актуализирате политиката SBAT;
Рестартирайте компютъра си и по-късно активирайте още веднъж Secure Boot в BIOS.
Тези дейности ще запазят някои от преимуществата на Secure Boot, даже в случай че потребителите останат уязвими за атаки
Причината беше неточност в актуализацията, която адресира 2-годишна накърнимост в GRUB - зареждащото устройство, употребявано за пускане на доста Linux устройства.
Уязвимостта CVE-2022-2601 (с CVSS оценка: 8.6) позволяваше на нападателите да заобиколят Secure Boot - стандарт за сигурност, който подсигурява, че устройствата не изтеглят злотворен програмен продукт или фърмуер по време на пускане. Уязвимостта е открита още през 2022 година, само че по незнайни аргументи Microsoft я закърпи едвам в този момент.
Актуализацията засегна устройствата с двойно пускане (dual boot), на които е конфигуриран както Windows, по този начин и Linux.
При опит за пускане на Linux потребителите се сблъскваха със известието: „ Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation ". Форумите за поддръжка и полемиките се изпълниха с изявления за казуса. Потребителите означиха, че макар уверенията на Microsoft актуализацията е засегнала системите с двойно зареждане.
Според потребителите грешката е обвързвана с несъвместимостта на някои версии на Linux boot loader с новия EFI микрокод на Microsoft. Сред засегнатите са известни дистрибуции като Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.
Microsoft към момента не е признала обществено за грешката, не е обяснила за какво тя не е била открита по време на тестванията и не е предоставила механически препоръки за засегнатите консуматори. В бюлетина за CVE-2022-2601 Microsoft увери, че актуализацията ще конфигурира SBAT - механизма на Linux за анулация на разнообразни съставни елементи в пътя за зареждане, само че единствено на устройства, работещи единствено с Windows. Актуализацията не трябваше да засегне системите с двойно зареждане. На процедура обаче се оказа, че това не е по този начин, което провокира отвращение измежду потребителите.
Някои консуматори откриха краткотрайно решение на казуса - деактивиране на Secure Boot посредством EFI панела. Този способ обаче може да не е допустим за тези, които се нуждаят от отбрана на Secure Boot. Друга опция е да се отстрани политиката SBAT, въведена от Microsoft.
Конкретни стъпки:
Изключете Secure Boot;
Влезте като консуматор на Ubuntu и отворете терминал;
Изтрийте политиката SBAT посредством командата: sudo mokutil -set-sbat-policy delete
Рестартирайте компютъра си и влезте още веднъж в Ubuntu, с цел да актуализирате политиката SBAT;
Рестартирайте компютъра си и по-късно активирайте още веднъж Secure Boot в BIOS.
Тези дейности ще запазят някои от преимуществата на Secure Boot, даже в случай че потребителите останат уязвими за атаки
Източник: cross.bg
КОМЕНТАРИ