На днях прилетел очередной пакет обновлений для Manjaro. В большей части там минорные обновления текущих пакетов. Но есть и одно значимое изменение, которое может в очередной поломать работу всей системы.
Grub 2: Восемь новых уязвимостей в загрузчике
Разработчики Grub 2 сообщили о нескольких уязвимостях. Некоторые из них могут снова обойти безопасную загрузку, что значительно усложняет процесс обновления.
Целая куча патчей безопасности ожидается для загрузчика GNU Grub 2. Хотя некоторые из них устанавливаются через обновления пакетов в дистрибутивах Linux, полное устранение всех восьми багов требует повторного отзыва сигнатур в UEFI Secure Boot.
Такой подход звучит знакомо, ведь это было необходимо в середине прошлого года для ошибки “Boothole” в GNU Grub 2. Но это не всегда возможно, так как многие системы могут просто перестать работать после отзыва уязвимых ключей.
Судя по официальным заявления все эти уязвимости нашли собственно сами разработчики Grub 2 в ходе глобальной чистки своего кода.
Обновление Manjaro
Текущее мартовское обновление включает все исправления для восьми новых уязвимостей. По крайней мере, некоторые из этих лазеек могут быть использованы для перезагрузки модулей ядра без действительной подписи, несмотря на активную безопасную загрузку. Подробное описание каждой уязвимости расписал в своём письме Daniel Kiper.
Если не вдаваться в подробности, то чтобы всё исправить пользователям Manjaro нужно просто обновить систему. Так же не вижу особого смысла для паники, так как все эти уязвимости только теоретические и их нашли собственно сами разработчики. Чтобы всё исправить рекомендуется просто переустановить grub на ваших системах с новыми ключами безопасности, что и делается в обновлениях Manjaro.
Windows в дуалбуте
Пользователей с двойной загрузкой Linux и Windows ожидают сюрпризы. Так ка после обновления скорей всего загрузиться в Windows вы уже не сможете. Но в Manjaro это можно легко исправить.
Для включения os-prober и обнаружения других ваших ОС рядом с Manjaro нужно в терминале напечатать всего одну команду:
echo GRUB_DISABLE_OS_PROBER=false|sudo tee -a /etc/default/grub && sudo update-grub
[test@manjaro-nout ~]$ echo GRUB_DISABLE_OS_PROBER=false|sudo tee -a /etc/default/grub && sudo update-grub [sudo] пароль для test: GRUB_DISABLE_OS_PROBER=false Генерируется файл настройки grub … Найдена тема: /usr/share/grub/themes/manjaro/theme.txt Найден образ linux: /boot/vmlinuz-manjaro-xanmod-LTS Найден образ initrd: /boot/intel-ucode.img /boot/initramfs-manjaro-xanmod-LTS.img Found initrd fallback image: /boot/initramfs-manjaro-xanmod-LTS-fallback.img Найден образ linux: /boot/vmlinuz-5.10-x86_64 Найден образ initrd: /boot/intel-ucode.img /boot/initramfs-5.10-x86_64.img Found initrd fallback image: /boot/initramfs-5.10-x86_64-fallback.img Найден образ linux: /boot/vmlinuz-5.9-x86_64 Найден образ initrd: /boot/intel-ucode.img /boot/initramfs-5.9-x86_64.img Found initrd fallback image: /boot/initramfs-5.9-x86_64-fallback.img Найден образ linux: /boot/vmlinuz-5.4-x86_64 Найден образ initrd: /boot/intel-ucode.img /boot/initramfs-5.4-x86_64.img Found initrd fallback image: /boot/initramfs-5.4-x86_64-fallback.img Предупреждение: os-prober was executed to detect other bootable partitions. It's output will be used to detect bootable binaries on them and create new boot entries. Найден Windows 7 на /dev/sda2 Found memtest86+ image: /boot/memtest86+/memtest.bin завершено [test@manjaro-nout ~]$