2020-1661: GNU GRUB: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-30 19:06): Neues Advisory
Version 2 (2020-08-03 11:40): Red Hat weist darauf hin, dass unter anderem für Red Hat Enterprise Linux 7, 8 und 8.1 EUS Probleme bei auf das Sicherheitsupdate folgenden Reboots aufgetreten sind, durch die die Systeme nicht mehr gestartet werden konnten. Die Ursache wurde im aktualisierten 'shim'-Paket gefunden, für das eine neue Version zur Verfügung steht. Red Hat stellt über die Informationsseite zur Schwachstelle ein Detektions-Skript und ein Ansible Playbook zur Automatisierung des Sicherheitsupdates zur Verfügung.
Version 3 (2020-08-04 13:34): Für Red Hat Enterprise Linux Server TUS 7.3, 7.4, 7.6 und 7.7, Server AUS 7.2, 7.4 und 7.6, Red Hat Enterprise Linux EUS Compute Node 7.6 sowie für Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.6 und Red Hat Enterprise Linux for ARM 64 7 stehen Sicherheitsupdates bereit, um die Schwachstellen zu beheben.
Version 4 (2020-08-05 12:21): Canonical informiert darüber, dass das bisherige Sicherheitsupdate auf Systemen ohne UEFI oder mit UEFI im 'Legacy Mode' dazu geführt hat, dass diese nicht mehr vollständig starten konnten. Es steht ein neues Sicherheitsupdate bereit, um diese Regression zu beheben. Benutzer, die das erste Sicherheitsupdate installiert haben, sollten prüfen, ob GRUB2 den Ort des für den Bootvorgang verwendeten Geräts kennt und dass der Boot Loader korrekt installiert ist.
Version 5 (2020-08-10 11:11): openSUSE veröffentlicht für die Distributionen openSUSE Leap 15.1 und openSUSE Leap 15.2 Sicherheitsupdates für 'grub2' und behebt damit sieben der aufgeführten Schwachstellen.
Version 6 (2020-09-15 12:22): Für SUSE Linux Enterprise (SLE) Server 12 SP2 LTSS, BCL und SAP, 12 SP3 LTSS, BCL und SAP, 12 SP4 LTSS und SAP, 12 SP5 sowie 15 SAP, SLE High Performance Computing 15 LTSS und ESPOS, SLE Module for Basesystem 15 SP1 und SP2, SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 sowie SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'shim' bereit, um die Schwachstelle CVE-2020-10713 zu beheben. Die Sicherheitsupdates sollten erst installiert werden, nachdem die Updates von GRUB2, dem Linux-Kernel und, falls verwendet, Xen vom Juli / August 2020 eingespielt wurden.
Version 7 (2020-09-15 19:32): SUSE stellt auch für SUSE Linux Enterprise Server 11 SP4 LTSS ein Sicherheitsupdate für 'shim' zur Verfügung.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Microsoft
Oracle

Beschreibung:

Ein lokaler Angreifer mit erweiterten Rechten kann mehrere Schwachstellen in GRUB ausnutzen, um beliebigen Programmcode auszuführen und die UEFI Secure Boot Sicherheitsvorkehrungen zu umgehen.

Die Schwachstelle CVE-2020-10713 wurde von ihren Entdeckern 'BootHole' getauft.

Das GNU GRUB-Projekt stellt in einer Reihe von Quellcode-Patches Sicherheitsupdates zur Verfügung, um die Schwachstellen zu beheben. Das nächste Release, das diese Patches enthalten wird, wird die Version 2.06 sein. Der Veröffentlichungszeitpunkt dafür ist noch unbekannt.

In einer konzertierten Aktion berichten verschiedene Anbieter von Linux-Distributionen, Microsoft, VMware und weitere Software-Hersteller über die Hintergründe der Schwachstellen und bieten Sicherheitsupdates oder Wege zur Mitigation an.

Canonical bietet Sicherheitsupdates für Ubuntu 20.04 LTS, 18.04 LTS, 16.04 LTS und 14.04 ESM an. Oracle stellt für Oracle Linux 7 und 8 (x86_64, aarch64) Sicherheitsupdates zur Verfügung. Debian hat die Schwachstellen für die Distribution Debian 10 Buster (stable) behoben und stellt ein entsprechendes Update bereit. Auch Red Hat und SUSE aktualisieren ihr umfangreiches Produktportfolio, um die Schwachstellen zu beheben. Zu den Produkten gehören Red Hat Enterprise Linux (RHEL) 8, 8.1 EUS, 8.2 EUS, RHEL for Scientific Computing 7, RHEL Server 7, Server 8.2 TUS, Server 8.2 AUS, RHEL Workstation 7, RHEL Desktop 7, Red Hat CodeReady Linux Builder 8 und 8.2 EUS, SUSE Linux Enterprise (SLE) Server 11 SP4 LTSS, 12 SP2 LTSS, BCL und SAP, 12 SP3 LTSS, BCL und SAP, 12 SP4 LTSS und SAP, 12 SP5 sowie 15 LTSS und SAP, SLE Debuginfo 11 SP4, SLE High Performance Computing 15 LTSS und ESPOS, SLE Module for Server Applications 15 SP1 und SP2, SLE Module for Basesystem 15 SP1 und SP2, SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 sowie SUSE Enterprise Storage 5.

Microsoft stellt manuelle Updates für die DBX-Datenbank zur Verfügung und erklärt in seinem Sicherheitshinweis und weiteren Dokumenten, wie diese Updates anzuwenden sind. Diese Updates können zu nicht mehr startfähigen Systemen führen, daher sind Vorsichtsmaßnahmen wie Backups empfohlen. Microsoft plant außerdem Sicherheitsupdates für die betroffenen Windows-Versionen anzubieten, aber erst nachdem diese Updates ausführlich getestet wurden. Dieser Zeitpunkt wird nicht vor 2021 sein.

VMware informiert darüber, dass auch virtualisierte Umgebungen von den Schwachstellen betroffen sind, wenn GRUB in einer virtuellen Maschine benutzt wird. Die Mitigation besteht auch dort aus einem Update von GRUB und der DBX-Datenbank innerhalb der Gastumgebung.