News-Meldung vom 10.11.2009 13:40
Die neue Version des Bootloaders grub 1.97.1 schließt eine Sicherheitslücke der Vorgängerversion 1.97, durch die sich der Passworschutz leicht umgehen läst. Dieser soll verhindern, dass sich die Boot-Parameter beliebig modifizieren lassen, was die Kompromittierung eines Systems extrem vereinfacht. Ein Programmierfehler beim Passwortvergleich führte jedoch dazu, dass es genügt, das erste Zeichen des Kennworts korrekt einzugeben.
grub unterstützt seit der in vielen Teilen vollständig überarbeiteten Version 1.97 – auch als grub2 bekannt – mit dem neuen Config-Format eine einfache Nutzerauthentifizierung. Die Passwörter müssen dazu im Klartext hinterlegt werden. Diverse experimentelle Linux-Distributionen setzen bereits grub2 ein, etwa Debian Sid und Fedora 12, aber auch das kürzlich erschienene Ubuntu 9.10.
Siehe dazu auch:
English Version: Password hole in GRUB boot loader closed
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-854934
Themen-Forum Desktopsicherheit
Mehr zum Thema Linux Sicherheitslücke Passwörter
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
