Red Hat上周先行釋出新版grub2後,隨即發出公告要客戶暫停更新,因為發生安裝後導致系統無法開機的問題,並於本周(8/3)釋出修正後的grub2來解決問題。

上周安全廠商揭露出現在安全開機程式Grub2中的BootHole漏洞,但多家Linux作業系統及部份雲端業者修補後,反而出現無法開機的狀況。

BootHole漏洞編號CVE-2020-10713,一旦遭成功開採,可讓駭客寫入任意程式碼、置換成惡意bootloader程式,弱化UEFI Secure Boot的安全開機驗證,而使得惡意程式得以入侵電腦。由於所有Linux都包含Grub2,因此上周多家Linux發行版商包括Red Hat、Canonical、SUSE、Debian及Oracle相繼修補漏洞。

Red Hat上周先行釋出新版grub2後,隨即發出公告要客戶暫停更新,因為發生安裝後導致系統無法開機的問題。確定影響版本包括RHEL 7.8、RHEL 8.2,但也可能影響 RHEL 7.9和8.1版。

另外,安全研究人員Kevin Beaumont則指出,這個問題也造成Azure及Digital Ocean等雲端業者,以及一些使用舊版BIOS的本地部署系統無法開機。

Beaumont說,這問題和2018年修補Meltdown、Spectre漏洞引發的新災難類似。許多Linux作業系統安裝修補程式後,出現無法開機及效能問題大降的混亂狀況。Capsule8 副總裁Kelly Shortridge則解釋,這是因為上周BootHole漏洞修補牽涉作業系統、微軟及相關開源專案的協同,第一波並未按照應用的順序導致系統流程錯亂。

同樣的問題也出現在CentOS及Ubuntu、Debian及Mint。不過Ars Technica報導CentOSUbuntu已經釋出沒有問題的grub2版本。Red Hat也已在周一(8/3)釋出新版本grub2解決問題。


Advertisement

更多 iThome相關內容