Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-08-2020 07:28:52

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.8.0-1-amd64
(G)UI : mutter 3.36.6-1
Inscription : 15-02-2016

« BootHole » peut affecter les systèmes Linux - buster mis à 10.5

Une nouvelle faille, ( qui je crois a été corrigée hier dans testing, c'est une hypothèse plausible vu le nombre et l'importance des paquets mis à jour ), peut affecter grub2, ce qui permettrait aux attaquants d'altérer le processus de démarrage qui précède le démarrage du système d'exploitation :

https://www.zdnet.fr/actualites/l-attaq … 907469.htm


Pensez à mettre à jour, le correctif pour grub2 est dans les mises à jour pour buster en attendant la 10.5 qui devrait arriver sous peu :
https://www.debian.org/security/2020-GR … ub_updates

Édition : elle est déjà arrivée :
https://www.debian.org/News/2020/20200801

Dernière modification par --gilles-- (02-08-2020 10:45:14)


La liberté est liée à la qualité du langage, et les bureaucrates qui veulent détruire la liberté ont tous tendance à mal écrire et à mal parler, à se servir d’expressions pompeuses ou confuses, à user de clichés qui occultent ou oblitèrent le sens. Georges Orwell

Hors ligne

#2 02-08-2020 07:33:52

golgot200
Membre
Distrib. : Archlinux 2018-02-03
Noyau : Linux 5.7.11-arch1-1
(G)UI : Mate (Strict Minimum)
Inscription : 05-08-2007

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

Merci pour l'info wink

sous Archlinux, c'est fait depuis quelques jours :

https://github.com/archlinux/svntogit-p … grub/trunk

Hors ligne

#3 02-08-2020 07:59:43

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.8.0-1-amd64
(G)UI : mutter 3.36.6-1
Inscription : 15-02-2016

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

J'ai vérifié dans les sites debian, je n'arrivais pas à trouver dans les logs de juillet, mais en fait cela a été déjà corrigé en juin chez debian pour testing :
https://tracker.debian.org/news/1152475 … o-testing/

et le 30 juillet au soir pour buster :

https://tracker.debian.org/news/1164080 … ed-stable/

La liberté est liée à la qualité du langage, et les bureaucrates qui veulent détruire la liberté ont tous tendance à mal écrire et à mal parler, à se servir d’expressions pompeuses ou confuses, à user de clichés qui occultent ou oblitèrent le sens. Georges Orwell

Hors ligne

#4 02-08-2020 09:01:17

jce76350
Membre
Lieu : Rouen
Distrib. : Debian_Buster 10.4
Noyau : 4.19.0-9-amd64
(G)UI : XFCE
Inscription : 24-08-2016
Site Web

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

La page Web pour les mises à jour de sécurité il y a aussi un flux RSS

Pensez à mettre à jour, le correctif pour grub2 est dans les mises à jour pour buster en attendant la 10.5 qui devrait arriver sous peu :

La 10.5 est sortie hier débit d’après midi


--
Jc E

Hors ligne

#5 02-08-2020 09:31:44

MicP
Membre
Inscription : 29-02-2016

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

Bonjour

Je constate que le Secure Boot n'a de Secure que le nom
et que j'ai bien fait d'avoir pris l'habitude de ne jamais activer l'UEFI sur mes machines.

Mais bon, j'ai sans doute mal compris le sens du mot "secure"
vu qu'on appelle aussi "sécurité" tous ce qui est en place dans les magasins
dans le but d'éviter le vol de marchandise.

Dernière modification par MicP (02-08-2020 09:38:45)

Hors ligne

#6 02-08-2020 10:40:42

raleur
Membre
Inscription : 03-10-2014

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

BootHole


Je constate encore une fois avec plaisir que les baptiseurs de failles de sécurité n'ont rien perdu de leur humour et ne perdent pas une occasion de faire un jeu de mot scabreux.

--gilles-- a écrit :

Pensez à mettre à jour


Il y a un truc qui m'échappe. L'article de Debian dit :

il est fortement recommandé à tous les utilisateurs de Debian de prendre la précaution d'installer toutes les mises à jour recommandées


mais d'un autre côté certaines de ces mises à jour "fortement recommandées" ne sont disponibles que dans l'archive buster-proposed-updates, alors que ce dépôt n'est pas activé sur la plupart des installations (ne pas confondre avec buster-updates). Ce n'est pas cohérent. Heureusement que la publication de la révision 10.5 vient remettre tout ça à plat en intégrant toutes ces mises à jour dans le dépôt principal buster.

MicP a écrit :

Je constate que le Secure Boot n'a de Secure que le nom


Ce n'est que maintenant que tu t'en rends compte ? La chaîne de "confiance" du secure boot ne vérifie que le chargeur d'amorçage et le noyau, mais pas le reste, notamment le fichier de configuration du chargeur d'amorçage (qui n'est rien de moins qu'un script dans le cas de GRUB) et l'initramfs. On peut donc leur faire faire presque tout ce qu'on veut (une exception étant l'impossibilité de charger des modules du noyau non signés ou corrompus, par exemple dans le but d'injecter un rootkit) sans toucher au secure boot à moins de mettre en place des métriques sur ces éléments (avec la puce TPM).

MicP a écrit :

ne jamais activer l'UEFI sur mes machines


Ne pas confondre UEFI et secure boot. D'ailleurs on n'a plus le choix sur un certain nombres de machines récentes, et de plus en plus souvent : l'amorçage UEFI est systématiquement activé, on peut seulement activer ou désactiver l'amorçage traditionnel BIOS/legacy (quand il est encore pris en charge).

Dernière modification par raleur (02-08-2020 11:09:27)


Il vaut mieux montrer que raconter.

Hors ligne

#7 02-08-2020 10:52:57

David5647
Membre
Distrib. : Debian Bullseye/Sid
Noyau : 5.7.0-2-amd64
(G)UI : KDE/i3wm
Inscription : 27-08-2017

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

Franchement, faut arrêter avec ce genre de post.
Ça fait de nombreuses fois que je croise des posts du genre ici, bon ça tombe aujourd'hui parce-que je suis de mauvaise humeur.  big_smile
Waouh, il y a des failles de sécurités dans les OS!
Celle là est quand même assez magnifique, je dois le concéder, puisqu'il faut un accès root!
je comprends pas ce que ça apporte du tout : Information creuse & augmentation d'un sentiment d'insécurité.
C'est digne d'un mauvais procédé médiatique.

Hors ligne

#8 02-08-2020 11:02:46

raleur
Membre
Inscription : 03-10-2014

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

David5647 a écrit :

Celle là est quand même assez magnifique, je dois le concéder, puisqu'il faut un accès root!


Précisément. Le secure boot est censé protéger même contre une attaque en root.
Si un attaquant root modifie GRUB ou le noyau, la somme de contrôle ne correspond plus et le secure boot refuse de booter.

Dernière modification par raleur (02-08-2020 11:04:16)


Il vaut mieux montrer que raconter.

Hors ligne

#9 02-08-2020 11:30:49

golgot200
Membre
Distrib. : Archlinux 2018-02-03
Noyau : Linux 5.7.11-arch1-1
(G)UI : Mate (Strict Minimum)
Inscription : 05-08-2007

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

David5647 a écrit :

Franchement, faut arrêter avec ce genre de post..



Et pourquoi donc ?
Grace à ton coup de gueule et ton intervention, je ne m'inquiète donc plus maintenant.
Le post est donc utile pour ceux qui n'y connaissent rien, comme moi wink

Dernière modification par golgot200 (02-08-2020 11:32:58)

Hors ligne

#10 02-08-2020 11:52:20

raleur
Membre
Inscription : 03-10-2014

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

L'annonce est utile pour tous les utilisateurs de Debian sur une machine avec le secure boot activé.
Faut être honnête : en pratique la faille de sécurité en elle-même ne concerne pas grand-monde, car à partir du moment où l'attaquant est root il existe déjà bien d'autres scénarios d'attaque qui ne nécessitent pas d'exploiter une faille de sécurité. Par contre l'impact des mesures prises pour corriger la faille concerne tous les utilisateurs du secure boot, car il y aura un risque bien réel de se retrouver avec un système incapable de booter à partir du moment où les anciennes clés auront été révoquées.

Dernière modification par raleur (02-08-2020 11:54:12)


Il vaut mieux montrer que raconter.

Hors ligne

#11 02-08-2020 12:24:33

MicP
Membre
Inscription : 29-02-2016

Re : « BootHole » peut affecter les systèmes Linux - buster mis à 10.5

De toutes façons :

Publication de la mise à jour de Debian 10.5 a écrit :

…Cette version intermédiaire corrige aussi l'annonce de sécurité de Debian DSA-4735 grub2 qui traite de plusieurs problèmes de CVE concernant la vulnérabilité "BootHole" de UEFI SecureBoot dans GRUB2. …


https://www.debian.org/News/2020/20200801

Voir aussi : https://debian-facile.org/viewtopic.php?id=27975

Hors ligne

Pied de page des forums