Linux發行商針對Grub2的BootHole漏洞釋出首波修補卻出師不利，一度造成系統無法重開、雲端服務當機

上周安全廠商揭露出現在安全開機程式Grub2中的BootHole漏洞，但多家Linux作業系統及部份雲端業者修補後，反而出現無法開機的狀況。

BootHole漏洞編號CVE-2020-10713，一旦遭成功開採，可讓駭客寫入任意程式碼、置換成惡意bootloader程式，弱化UEFI Secure Boot的安全開機驗證，而使得惡意程式得以入侵電腦。由於所有Linux都包含Grub2，因此上周多家Linux發行版商包括Red Hat、Canonical、SUSE、Debian及Oracle相繼修補漏洞。

Red Hat上周先行釋出新版grub2後，隨即發出公告要客戶暫停更新，因為發生安裝後導致系統無法開機的問題。確定影響版本包括RHEL 7.8、RHEL 8.2，但也可能影響 RHEL 7.9和8.1版。

另外，安全研究人員Kevin Beaumont則指出，這個問題也造成Azure及Digital Ocean等雲端業者，以及一些使用舊版BIOS的本地部署系統無法開機。

Beaumont說，這問題和2018年修補Meltdown、Spectre漏洞引發的新災難類似。許多Linux作業系統安裝修補程式後，出現無法開機及效能問題大降的混亂狀況。Capsule8 副總裁Kelly Shortridge則解釋，這是因為上周BootHole漏洞修補牽涉作業系統、微軟及相關開源專案的協同，第一波並未按照應用的順序導致系統流程錯亂。

同樣的問題也出現在CentOS及Ubuntu、Debian及Mint。不過Ars Technica報導，CentOS和Ubuntu已經釋出沒有問題的grub2版本。Red Hat也已在周一（8/3）釋出新版本grub2解決問題。