Bootloader Grub 2.06 verbessert Sicherheit

Der beliebte Linux-Bootloader Grub2 schließt offiziell die Sicherheitslücke BootHole und versteht nun mit LUKS2-verschlüsselte Partitionen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge
2 Pinguin-Statuen

(Bild: Daniel AJ Sokolov)

Von
  • Tim Schürmann

Zwei wesentliche Neuerungen verspricht die jüngste Version des Linux-Bootloaders Grub 2.06: Die Software unterstützt nun Boot-Partitionen, die mit LUKS2 verschlüsselt sind. Zudem enthält das Update mehrere Bugfixes und Sicherheitserweiterungen. Es ist die erste neue Grub-Version seit fast zwei Jahren. Ursprünglich sollte sie bereits im Sommer 2020 erscheinen, dann kam den Entwicklern eine fiese Sicherheitslücke in die Quere.

Über einen BootHole getauften Bug konnten sich Angreifer in den Bootprozess einhängen und Schadcode ausführen (). Zunächst dichteten Linux-Distributoren ihre Grub-Pakete jeweils selbst ab. Leider blockierten BootHole-Patches bei Red Hat, CentOS, Debian und Ubuntu Grub2. Erst mit der jetzt veröffentlichten Version 2.06 stopft Grub offiziell das BootHole und dessen Kollegen BootHole2.

Die Grub-Entwickler haben weitere Patches übernommen, die Red Hat, Debian und einige weitere Distributoren zwischenzeitlich ihren eigenen Grub-Pakete eingeimpft hatten. Die Distributoren hatten so versucht, die langen Release-Zeiten des Bootloaders zu überbrücken. Zudem ist Grub um zahlreiche Fehler erleichtert und der Code etwas aufgeräumt. Er lässt sich nun mit den C-Compilern GCC 10 und Clang 10 übersetzen.

Grub 2.06 unterstützt neu die Sicherheitsmodule (XSM/FLASK) des Hypervisors Xen sowie das Secure Boot Advanced Targeting (SBAT). Letztgenannte Technik haben sich die Entwickler des Bootloaders Shim ausgedacht, um Angriffe auf den Bootprozess wie im Falle BootHoles weiter zu erschweren. Vereinfacht dargestellt erachtet das Verfahren veraltete Versionen eines am Bootprozess beteiligten Programms automatisch als unsicher. Obendrauf bietet Grub 2.06 noch einen Lockdown-Mechanismus, der dem gleichnamigen Pendant des Linux-Kernels ähnelt.

Verschlüsselte Datenträger folgen unter Linux meist dem LUKS-Standard. Dessen überarbeitete zweite Version existiert zwar bereits seit 2018, Grub konnte mit entsprechenden Partitionen allerdings nichts anfangen. Dies ändert sich jetzt mit Grub-Version 2.06. Boot-Partitionen müssen folglich nicht mehr zwingend das alte LUKS verwenden.

Eine weitere Sicherheitsmaßnahme betrifft die Konfiguration Grubs. Das dabei eingesetzte Hilfswerkzeug grub-mkconfig ruft auch das Kommandozeilenprogramm os-prober zu Hilfe. Dieses wiederum erkennt alle auf dem System installierten Betriebssysteme und generiert dazu automatisch passende Einträge im Bootmenü. Da dieses Verhalten prinzipiell für einen Angriff missbraucht werden könnte, ist os-prober bei Grub 2.06 standardmäßig deaktiviert.

Lesen Sie auch

Die nächste Grub-Version soll im ersten Halbjahr 2022 erscheinen, wobei der Bootloader dann auf die Versionsnummer Grub 2.11 springen wird. Dies geschieht aus praktischen Gründen: Viele Skripte und Tools verschlucken sich offenbar an der Null in der Versionsangabe. "11" vereinfacht das Parsen der Versionsnummer.

(ds)