Актуализация на Microsoft блокира Linux-системи по целия свят
Секция: Технологии
21 Август 2024 20:14
Моля, помислете за околната среда, преди да вземете решение за печат на този материал.
Вашата Информационна агенция "КРОСС".

Please consider the environment before deciding to print this article.
Information agency CROSS
Актуализация на Microsoft блокира Linux-системи по целия свят

/КРОСС/  Миналата седмица много потребители на Linux се сблъскаха със сериозен проблем: Някои устройства спряха да се включват нормално след актуализация, пусната от Microsoft в рамките на Patch Tuesday. Вместо нормалното стартиране на системата се появяло съобщение за грешка.

Причината беше грешка в актуализацията, която адресира 2-годишна уязвимост в GRUB - зареждащото устройство, използвано за стартиране на много Linux устройства.

Уязвимостта CVE-2022-2601 (с CVSS оценка: 8.6) позволяваше на нападателите да заобиколят Secure Boot - стандарт за сигурност, който гарантира, че устройствата не изтеглят зловреден софтуер или фърмуер по време на стартиране. Уязвимостта е открита още през 2022 година, но по неизвестни причини Microsoft я закърпи едва сега.

Актуализацията засегна устройствата с двойно стартиране (dual boot), на които е инсталиран както Windows, така и Linux.

При опит за стартиране на Linux потребителите се сблъскваха със съобщението: „Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation". Форумите за поддръжка и дискусиите се напълниха с публикации за проблема. Потребителите отбелязаха, че въпреки уверенията на Microsoft актуализацията е засегнала системите с двойно зареждане.

Според потребителите грешката е свързана с несъвместимостта на някои версии на Linux boot loader с новия EFI микрокод на Microsoft. Сред засегнатите са популярни дистрибуции като Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.

Microsoft все още не е признала публично за грешката, не е обяснила защо тя не е била открита по време на тестовете и не е предоставила технически съвети за засегнатите потребители. В бюлетина за CVE-2022-2601 Microsoft увери, че актуализацията ще инсталира SBAT - механизма на Linux за отмяна на различни компоненти в пътя за зареждане, но само на устройства, работещи само с Windows. Актуализацията не трябваше да засегне системите с двойно зареждане. На практика обаче се оказа, че това не е така, което предизвика възмущение сред потребителите.

Някои потребители намериха временно решение на проблема - деактивиране на Secure Boot чрез EFI панела. Този метод обаче може да не е приемлив за тези, които се нуждаят от защита на Secure Boot. Друга възможност е да се премахне политиката SBAT, въведена от Microsoft.

Конкретни стъпки:
Изключете Secure Boot;
Влезте като потребител на Ubuntu и отворете терминал;
Изтрийте политиката SBAT чрез командата: sudo mokutil -set-sbat-policy delete
Рестартирайте компютъра си и влезте отново в Ubuntu, за да актуализирате политиката SBAT;
Рестартирайте компютъра си и след това активирайте отново Secure Boot в BIOS.
Тези действия ще запазят някои от предимствата на Secure Boot, дори ако потребителите останат уязвими за атаки