关于grub2的零日漏洞

小饼仙子 · **发表于 :** 2015-12-23 9:34

看新闻说grub2爆出零日漏洞，ubuntu已经提供补丁。不知道什么地方可以下载到呢？

qy117121 · **发表于 :** 2015-12-23 9:53

既然官方说已经提供补丁，那么你更新系统就应该可以了

另外我想说这个漏洞对普通人没什么影响，看起来攻击者是要物理接触才行

引用:

想要快速判断你的系统是否有这个漏洞，只需在grub出现输入用户名的界面时，连续按28次Backspace（退格键），如果系统重启或者返回rescue shell ，那么你的grub就会受到该漏洞影响。

普通用户一般都没有用密码保护grub引导吧，所以只要能物理接触到你的电脑不用这个漏洞也可以做到

引用内容来自 http://www.freebuf.com/vuls/90048.html

qy117121 · **发表于 :** 2015-12-23 9:54

引用:

该安全漏洞被 Ismael Ripoll 和 Hector Marco 发现，当引导程序配置的是由密码保护进行身份认证的时候，它不能正确处理退格键，从而允许本地攻击者绕过 GRUB 的密码保护。

vickycq · **发表于 :** 2015-12-23 10:00

这个漏洞是 CVE-2015-8370
在 Ubuntu 中的修复情况参见
http://www.ubuntu.com/usn/usn-2836-1/
http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-8370.html

Ubuntu 15.10 请升级到 grub2-common 2.02~beta2-29ubuntu0.2
Ubuntu 15.04 请升级到 grub2-common 2.02~beta2-22ubuntu1.4
Ubuntu 14.04 请升级到 grub2-common 2.02~beta2-9ubuntu1.6
Ubuntu 12.04 请升级到 grub2-common 1.99-21ubuntu3.19