Alert!

RHEL, CentOS und weitere Linux-Distributionen: "BootHole"-Fixes blockieren Grub2

Besser nicht einspielen: Updates gegen die BootHole-Sicherheitslücken für RHEL, CentOS, Debian und Ubuntu verursachen auf einigen Systemen schwere Probleme.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 86 Beiträge

(Bild: rootstock / Shutterstock.com)

Update
Von
  • Olivia von Westernhagen

Eigentlich sollten zwei von den Red Hat Enterprise Linux (RHEL)-Entwicklern bereitgestellte Sicherheitsupdates die vergangene Woche entdeckte Grub2-Sicherheitslücke "BootHole" schließen. Nun hat sich allerdings herausgestellt, dass die Updates RHSA_2020:3216 und RHSA_2020:3217 ihrerseits Schaden anrichten können: Offenbar können viele Nutzer nach der Anwendung überhaupt nicht mehr booten, das Grub-Menü lädt nicht.

Dasselbe Problem besteht auch beim kostenlosen RHEL-Klon CentOS. Wie sich etwas später herausstellte, besteht es mitunter allerdings auch auf Debian- und Ubuntu-Systemen. Für die verschiedenen Distributionen stehen aktualisierte Sicherheitshinweise und teils auch gefixte Pakete bereit.

Die BootHole-Bugs habe wir in einem separaten Artikel beschrieben:

BootHole-Fehler:

Das Red Hat-Team hat einen Sicherheitshinweis zu den fehlerhaften Updates veröffentlicht. Darin wird das Problem für die RHEL-Versionen 7.8 und 8.2 bestätigt. Lediglich "potenziell betroffen" (Problem nicht bestätigt) seien die Versionen 7.9 und 8.1 EUS. Das Problem tritt bei RHEL grundsätzlich nur im UEFI- und nicht im klassischen BIOS-Modus auf.

Update 03.08.20, 14:00 + 14:15:

Red Hat hat aktualisierte Pakete des Secure-Boot-Loaders Shim bereitgestellt und den Sicherheitshinweis noch einmal aktualisiert. Dem dortigen Kommentarbereich ist zu entnehmen, dass Nutzer (evtl. zunächst auf einem Testsystem) nun unbesorgt updaten können.

Aktualisierte Grub-Pakete seien nicht mehr zu erwarten: laut Entwickler Renaud Metrich habe das Problem in fehlerhaften Shim-Paketen bestanden. Dementsprechend umfasst der Sicherheitshinweis nun zusätzlich auch "Diagnostic steps" zum Aufspüren der problematischen shim-Packages.

(Bild: access.redhat.com/)

Auch für CentOS gibt es aktualisierte shim-Pakete in Gestalt von shim-x64-15-8.el7_8.x86_64.rpm (CentOS 7) beziehungsweise shim-x64-15-15.el8_2.x86_64.rpm (CentOS 8).

Anders als bei RHEL/CentOS scheinen die Boot-Probleme auf Debian- und Ubuntu-Systemen, wenn überhaupt, dann lediglich bei der Verwendung von BIOS sowie beim Dual-Boot (Linux/Windows) aufzutreten. Für Debian Stable (Buster und Sid) beseitigt das aktualisierte Grub2-Paket 2.02+dfsg1-20+deb10u2 den Fehler.

Das Ubuntu-Team hat seinen BootHole-Artikel um einen Troubleshooting-Abschnitt erweitert. Auch hier wird im, so heißt es im Text, "unwahrscheinlichen" Fall von Boot-Problemen nach Installation der zuvor veröffentlichten Grub2-Aktualisierungen zu einem Paket-Downgrade geraten. Ansonsten gilt es, nach neuen, reparierten Packages Ausschau zu halten. (ovw)