Linux对Grub2的BootHole漏洞修补不利

上周，安全厂商宣布了Grub2安全启动程序中的BootHole漏洞，但是他们在修补了许多Linux操作系统和一些云计算公司后未能启动。

BootHole漏洞编号CVE-2020-10713，一旦遭成功开采，可让黑客写入任意程序代码、置换成恶意bootloader程序，弱化UEFI Secure Boot的安全开机验证，而使得恶意程序得以入侵计算机。由于所有Linux都包含Grub2，因此上周多家Linux发行版商包括Red Hat、Canonical、SUSE、Debian及Oracle相继修补漏洞。

Red Hat上周先行发布新版grub2后，随即发出公告要客户暂停更新，因为发生安装后导致系统无法开机的问题。确定影响版本包括RHEL 7.8、RHEL 8.2，但也可能影响RHEL 7.9和8.1版。

另外，安全研究人员Kevin Beaumont则指出，这个问题也造成Azure及Digital Ocean等云计算企业，以及一些使用旧版BIOS的本地部署系统无法开机。

Beaumont说，这问题和2018年修补Meltdown、Spectre漏洞引发的新灾难类似。许多Linux操作系统安装修补程序后，出现无法开机及性能问题大降的混乱状况。Capsule8副总裁Kelly Shortridge则解释，这是因为上周BootHole漏洞修补涉及操作系统、微软及相关开源项目的协同，第一波并未按照应用的顺序导致系统流程错乱。

同样的问题也出现在CentOS及Ubuntu、Debian及Mint。不过Ars Technica报道，CentOS和Ubuntu已经发布没有问题的grub2版本。Red Hat也已在周一(8/3)发布新版本grub2解决问题。