В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot
Главная » Новости

В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot

Александр Панасенко 16 Марта 2015 - 12:25
...

Компания Oracle объявила о реализации в выпуске дистрибутива Oracle Linux 7.1 возможности верификации процесса загрузки на системах с UEFI Secure Boot. Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, активно занимающийся обеспечением загрузки Linux на системах с UEFI, выступилс критикой поддержки UEFI Secure Boot в Oracle Linux и указал на серьёзные проблемы с безопасностью, позволяющие выполнить произвольный код, незаверенный цифровой подписью.

Механизм UEFI Secure Boot позволяет гарантировать использование на этапе загрузки системы только оригинальных компонентов, заверенных цифровой подписью. В RHEL и Oracle Linux, при использовании UEFI Secure Boot, обеспечивается проверка загрузчика, ядра, загружаемых ядром драйверов и модулей ядра. Для обеспечения защиты от выполнения непроверенных компонентов, при загрузке с верификацией в ядре необходимо отключить ряд возможностей, таких как вызов kexec и интерфейсы, позволяющие вносить изменения в память ядра из пространства пользователя. В частности, kexec предоставляет возможность загрузки нового ядра из уже запущенного ядра Linux, что может быть использовано для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью, сообщает opennet.ru.

Как известно, в Oracle Linux кроме клона ядра из состава RHEL также поставляется собственный вариант ядра Unbreakable Enterprise Kernel, поддерживаемый силами Oracle. Проблема состоит в том, что цифровые подписи для обоих ядер созданы с использование одного ключа. Если в клоне ядра RHEL при загрузке в UEFI Secure Boot производится отключение опасных компонентов ядра, то в ядре Unbreakable Enterprise Kernel остаётся активен kexec, что сводит на нет всю цепочку доверия. Даже при использовании ядра RHEL в Oracle Linux, атакующий имеет возможность загрузить имеющее корректную цифровую подпись ядро Unbreakable Enterprise Kernel, а затем через kexec запустить модифицированный вариант ядра с бэкдором.

Интересно также то, что ключ для создания цифровой подписи для Oracle Linux назван "oracle301", при том, что число 301 выбрано так как ключ в RHEL тоже оканчивается на 301, но без учёта того, что 301 не имеет принципиального значения и является лишь порядковым номером сгенерированного в Red Hat ключа. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

РСЧС предупредила москвичей об ограничениях на доступ к интернету
Яков Шпунт 05 Мая 2025 - 15:37
Соответствие законодательству РФ Общее
РСЧС предупредила москвичей об ограничениях на доступ к интернету

Единая государственная система предупреждения о чрезвычайных ситуациях (РСЧС) начала рассылать уведомления о возможных ограничениях доступа в интернет в период майских праздников.

Как указано в сообщениях, такие меры принимаются «в целях обеспечения безопасности праздничных мероприятий».

О получении такого уведомления сообщил, в частности, один из корреспондентов ТАСС.

«Возможны ограничения доступа в интернет в связи с обеспечением безопасности проходящих праздничных мероприятий», — говорится в сообщении.

Почти одновременно с рассылкой подобных оповещений произошёл массовый сбой в работе мобильных операторов и мессенджера Telegram.

Директор департамента расследований T.Hunter Игорь Бедеров в комментарии для «Газеты.Ru» заявил, что одной из целей таких ограничений является противодействие наведению дронов: «Дроны ориентируются по GPS-сигналу. В Москве и других крупных городах России, особенно в центральных районах, применяется GPS-спуфинг — подмена реального спутникового сигнала ложным, более мощным. В результате нарушается навигация, машины теряют позиционирование, такси затрудняются в поиске клиентов и т. п.

Однако геолокация определяется не только по GPS. Она также может вычисляться по сетям Wi-Fi и базовым станциям сотовой связи. Поэтому ограничение мобильного интернета и связи способно серьёзно осложнить наведение беспилотников».

Ранее ГУ МВД по Москве сообщило о введении в столице режима запрета полётов для всех видов летательных аппаратов, включая дроны. Граждан предупредили о возможной ответственности за нарушение этих ограничений.

Кроме того, отсутствие мобильной связи может осложнить или даже предотвратить попытки дистанционного подрыва взрывных устройств с использованием радиоканалов сотовой связи.

«Сигнал у нас передаётся по радиоканалу. GSM-сеть, та самая сотовая связь, — это и есть радиоканалы. Причём они самые массовые и дешёвые. Если подключить к взрывному устройству GSM-приёмник, можно передавать команды с помощью смартфона, обычного мобильника или даже пейджера. Глушение мобильной связи исключает такую возможность», — пояснил Игорь Бедеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Deckhouse Kubernetes Platform прошла повторную сертификацию ФСТЭК России
Новость
Deckhouse Kubernetes Platform прошла повторную сертификацию...
Google начала отключать uBlock в Chrome из-за перехода на Manifest V3
Новость
Google начала отключать uBlock в Chrome из-за перехода на Ma...
В Bluetooth-чипе ESP32 нашли бэкдор, в зоне риска миллиард устройств
Новость
В Bluetooth-чипе ESP32 нашли бэкдор, в зоне риска миллиард у...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.