Linux對Grub2的BootHole漏洞修補不利

上周，安全廠商宣布了Grub2安全啟動程序中的BootHole漏洞，但是他們在修補了許多Linux操作系統(tǒng)和一些云計算公司后未能啟動。

BootHole漏洞編號CVE-2020-10713，一旦遭成功開采，可讓黑客寫入任意程序代碼、置換成惡意bootloader程序，弱化UEFI Secure Boot的安全開機驗證，而使得惡意程序得以入侵計算機。由于所有Linux都包含Grub2，因此上周多家Linux發(fā)行版商包括Red Hat、Canonical、SUSE、Debian及Oracle相繼修補漏洞。

Red Hat上周先行發(fā)布新版grub2后，隨即發(fā)出公告要客戶暫停更新，因為發(fā)生安裝后導致系統(tǒng)無法開機的問題。確定影響版本包括RHEL 7.8、RHEL 8.2，但也可能影響RHEL 7.9和8.1版。

另外，安全研究人員Kevin Beaumont則指出，這個問題也造成Azure及Digital Ocean等云計算企業(yè)，以及一些使用舊版BIOS的本地部署系統(tǒng)無法開機。

Beaumont說，這問題和2018年修補Meltdown、Spectre漏洞引發(fā)的新災難類似。許多Linux操作系統(tǒng)安裝修補程序后，出現(xiàn)無法開機及性能問題大降的混亂狀況。Capsule8副總裁Kelly Shortridge則解釋，這是因為上周BootHole漏洞修補涉及操作系統(tǒng)、微軟及相關開源項目的協(xié)同，第一波并未按照應用的順序導致系統(tǒng)流程錯亂。

同樣的問題也出現(xiàn)在CentOS及Ubuntu、Debian及Mint。不過Ars Technica報道，CentOS和Ubuntu已經發(fā)布沒有問題的grub2版本。Red Hat也已在周一(8/3)發(fā)布新版本grub2解決問題。