Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Удалённая уязвимость в прослойке Shim, позволяющая обойти UEFI Secure Boot"	+/–
Сообщение от opennews (??), 26-Янв-24, 14:13
В прослойке Shim, применяемой в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot, выявлена уязвимость (CVE-2023-40547), которая может привести к удалённому выполнению кода и обходу  механизма верифицированной загрузки UEFI Secure Boot. Атакующий, контролирующий HTTP-сервер, к которому обращается Shim, может вернуть специально оформленный ответ, приводящий к контролируемой записи в область за границу буфера для организации выполнения кода на раннем этапе загрузки... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60501
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 26-Янв-24, 14:13	+4 +/–
И опять, и снова, и снова опять... 🤦‍♂️
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68, #100

3. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 14:18	–15 +/–
Просто напоминаю, в очередной раз: Rust защищает от всех, перечисленных в новости, уязвимостей "искаропки".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #12, #29, #59

4. Сообщение от Аноним (4), 26-Янв-24, 14:24	+10 +/–
Как и любой язык с автоматическим управлением памятью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11, #21

11. Сообщение от Аноним (-), 26-Янв-24, 14:37	–1 +/–
Но в раст ручное управление памятью! Можно было бы привести в примет С++ со всяким смартпойнтерами, стат. и динамик анализом... Но гуглу как-то все равно не помогло, в новости про MiraclePtr чуда, что характерно не случилось - получили +5.5-8% потребления памяти и торможение на 1.5%.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17, #77

12. Сообщение от Аноним (-), 26-Янв-24, 14:38	+/–
> Растаманы-тролли хочу вас огорчить, это называется "живой рабочий код". Уязвимостей нет только в бесполезных растаманских программах. Живой дырявый кусок кода, допускающий удаленную дыру. Божественно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от YetAnotherOnanym (ok), 26-Янв-24, 14:39	+6 +/–
> HTTP-сервер, к которому обращается Shim Какая прелесть!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66, #117

15. Сообщение от Аноним (-), 26-Янв-24, 14:40	+/–
Итого 4 "чтения из области памяти вне буфера" и 1 целочисленное переполнение... Вспоминается картинка с девушкой на диване, только на ее месте будет пользователь) Спасибо СИ, за то что ты есть! И главное в комментах будет полно народу который скажет "ничего страшного, ну подумаешь уязвимость"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #113

16. Сообщение от Аноним (16), 26-Янв-24, 14:40	–1 +/–
>Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT Но конечно же они этого не делают, ибо куда там 2.5 васянам, из федоры и каноникла до современных решений, в остальных дистрах и этих васянов нет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

17. Сообщение от Аноним (4), 26-Янв-24, 14:41	–2 +/–
Я с этим и не спорю, а дополняю, что не только раст главный по безопасности, но и любой язык с автоматическим управлением памятью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18, #22

18. Сообщение от Аноним (4), 26-Янв-24, 14:44	–2 +/–
Ага, какой-нибудь XSS или SQL-injection в UEFI. :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Аноним (4), 26-Янв-24, 14:45	+/–
(сорри, не в ту ветку написал)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 14:46	+/–
> Как и любой язык с автоматическим управлением памятью, в которых разработчики предусмотрели все случаи некорректной работы с памятью и правильно их обрабатывают. Поправил, не благодари
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

22. Сообщение от Аноним (-), 26-Янв-24, 14:48	+/–
Уязвимости в JS просто поперхнулись чаем) А сколько всего ломается из-за пхп... Так что автоматическая управление памятью не панацея. Особенно если по капотом будет тот же СИ как например тут opennet.ru/opennews/art.shtml?num=59592 "В PHP выявлена уязвимость (CVE-2023-3824) в реализации функции phar_dir_read()"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #26

24. Сообщение от Аноним (-), 26-Янв-24, 14:53	–3 +/–
>Shim заверен цифровой подписью Microsoft Точка
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

25. Сообщение от Аноним (25), 26-Янв-24, 14:53	+2 +/–
Тут есть хоть один человек со включённым секюрбутом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37, #71

26. Сообщение от Аноним (4), 26-Янв-24, 14:54	+/–
Блин, и правда, прошу прощения. Я не знал, что от Rust защищает от вообще всех возможных типов уязвимостей, по глупости подумал, что речь идёт лишь о конкретном подмножестве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31, #34

28. Сообщение от нах. (?), 26-Янв-24, 14:58	–1 +/–
>>Shim заверен цифровой подписью Microsoft > Точка да они уже все локти давно изгрызли что сдуру согласились л@пчатым подписать своим ключом их шимы. Хорошо еще хоть не тем же самым которым загрузочные диски с вендой, а отдельным - видимо, все же что-то сразу подозревали, его, в принципе, хотя бы в контролируемых тобой сетях можно заблокировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

29. Сообщение от нах. (?), 26-Янв-24, 14:59	+2 +/–
> Просто напоминаю, в очередной раз: Rust защищает от всех, перечисленных в новости, > уязвимостей "искаропки". конечно - нет кода, нет и уязвимостей. Лет через пятьдесят переписькиватели может и смогут нахрустеть shim для uefi, но пока дальше CoC.md дело что-то не продвигается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #32, #35

31. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:00	+/–
CVE-2023-3824 - это переполнение буфера
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:03	+/–
Ты опоздал с этим тейком на пару лет, меняй методичку. И код на расте есть и отсутствие любимых дыреней с памятью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #36

34. Сообщение от Аноним (-), 26-Янв-24, 15:07	–1 +/–
Ты абсолютно прав - Раст защищает только от конекретных проблем с памятью и не защещает от "всех-всех", но CVE-2023-38545 - 7.7 - node-libcurl - Heap-based Buffer Overflow CVE-2023-4863 - 9.6 - electron - Heap-based Buffer Overflow CVE-2022-37454 - PHP buffer overflow in hash_update() on long parameter bugs.php.net/bug.php?id=81738
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от morphe (?), 26-Янв-24, 15:09	+/–
Уже ж https://github.com/nix-community/lanzaboote/tree/master/rust...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #39, #40, #41

36. Сообщение от нах. (?), 26-Янв-24, 15:09	–1 +/–
извини, твой хеловрот нафиг никому не нужен, даже на хрусте. a shim - вот-с, не на нем. И, что характерно - не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #48, #51

37. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:09	+/–
А зачем его отключать? Он не мешает, так-то. И shim не нужен для загрузки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #46

39. Сообщение от нах. (?), 26-Янв-24, 15:11	+/–
secure boot не поддерживает, ничего кроме ненужноос не грузит. И ту с дискеты, а тут речь про сетевой загрузчик. Так и держать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

40. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:13	+/–
Побереги бисер. Сишники думают, что написать UEFI приложение - это вершина мастерства погромирования, а не задача на пару дней, вопрос только в нужности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (-), 26-Янв-24, 15:13	+/–
Это какое васяноподелие, для никому ненужной НИХ-ось. Вот вариант получше crates.io/crates/uefi (github.com/rust-osdev/uefi-rs) Но вообще пусть побидит сильнейший))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Аноним (42), 26-Янв-24, 15:15	+/–
It is a common piece of code that is safe, well-understood and audited so that it can be trusted and signed using platform keys
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от Аноним (-), 26-Янв-24, 15:19	+/–
Там точно написано piece of code ? Потому что, судя по новости, там словом ошиблись... Зато теперь мы знаем что значит "safe, well-understood and audited" в понимании авторов shim'a)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #69

46. Сообщение от AlexYeCu_not_logged (?), 26-Янв-24, 15:20	+3 +/–
>А зачем его отключать? Он не мешает, так-то. Вообще-то как раз мешает: вынуждает добавлять ключи для загружаемых дистров через интерфейс, созданный анхуманми для анхуманов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49

47. Сообщение от Аноним (47), 26-Янв-24, 15:24	–2 +/–
И опять, оказывается, из-за невнимательности программирования на сишке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #90

48. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:41	+/–
Shim - костыль для хранения ключей и передачи загрузки далее. Зачем писать второй костыль? Хотя если учесть, что сишники не справились даже с такой простой задачей, возможно и стОит написать нормальный...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #54

49. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 15:43	+1 +/–
Если задача установки дистров возникает регулярно, то согласен, проще отключить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #81

50. Сообщение от InuYasha (??), 26-Янв-24, 15:53	+2 +/–
> возвращённых HTTP-сервером, к которому обращается shim Погодите... а зачем Шиму вообще HTTP-сервер!?!? Это разве не три байта чтобы ключом микрософта подписаться?
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (-), 26-Янв-24, 15:56	+/–
> a shim - вот-с, не на нем. Первый релиз - сентябрь 2014. Первый релиз ржавчины - май 2015. Интересно, почему его не на Раст писали? Прям какая-то загадка. Возможно если ты напряжешь содержимое своей головы, то сможешь узнать ответ. Но боюсь она заполнена мыслями о COCах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #74

52. Сообщение от Аноним (53), 26-Янв-24, 16:08	–1 +/–
">Shim заверен цифровой подписью Microsoft Точка" У вас есть что предложить? )
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

53. Сообщение от Аноним (53), 26-Янв-24, 16:09	+/–
Хорошо, что едой не торгуют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Аноним (54), 26-Янв-24, 16:20	+2 +/–
когда уже перепишешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

55. Сообщение от Аноним (54), 26-Янв-24, 16:22	+1 +/–
ты что, уязвимостей не видел? или видел и боялся?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #67

56. Сообщение от Аноним (54), 26-Янв-24, 16:23	+/–
форк с другим названием и запросить другую подпись
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #72, #94

57. Сообщение от Аноним (57), 26-Янв-24, 16:31	+/–
Я не понял, он каждый раз при загрузке куда-то ломится в сеть по дефолту? На сервера МС? Или это опциоальное поведение?
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от Bottle (?), 26-Янв-24, 16:31	+3 +/–
Если бы программисты строили дома, то первый залетевший дятел разрушил бы всю цивилизацию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #95

59. Сообщение от Аноним (59), 26-Янв-24, 16:57	+6 +/–
Уязвимость в новости только одна - обращение куда-то в интернет во время загрузки. Расскажите, пожалуйста, как эту проблему решает раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #65

65. Сообщение от Аноним (-), 26-Янв-24, 17:27	+/–
Для тебя это баг, для кого-то фича. Тебя никто не заставляет - либр-буты к твоим услугам, так что свобода выбора у тебя есть. Захочешь ли ты ей воспользоваться - это уже другой вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

66. Сообщение от Аноним (66), 26-Янв-24, 17:39	+1 +/–
Я тоже не понял: при чём здесь какой-то сервер (тем более http) при загрузке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

67. Сообщение от Аноним (-), 26-Янв-24, 17:50	–1 +/–
> ты что, уязвимостей не видел? или видел и боялся? Я смотрел на них с высшей степенью отвращения как на доказательство ограниченности "венца эволюции". Как в прочем и на сам код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

68. Сообщение от Жижа (?), 26-Янв-24, 18:04	+2 +/–
Самый безопасный компьютер - выключенный, не мучайте себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #104

69. Сообщение от Жижа (?), 26-Янв-24, 18:07	+/–
И что вам это знание даёт? Откажетесь от его использования?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

71. Сообщение от аллоним (?), 26-Янв-24, 18:13	+/–
У меня вааще загрузчик залочен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

72. Сообщение от Аноним (-), 26-Янв-24, 18:19	–1 +/–
>и запросить другую подпись Только не от Майкрософт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

73. Сообщение от penetrator (?), 26-Янв-24, 18:21	+/–
EFI модули давно подписаны кричали они P.S. хуже незащищенной системы, только иллюзия защищенной
Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Аноним (77), 26-Янв-24, 18:31	+1 +/–
Восимь лет!!! было чтобы переписать, но видимо голова у переписывальщиков все восимь лет была забита продолговатыми предметами, о которых у них даже в комментариях прорывается ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

77. Сообщение от Аноним (77), 26-Янв-24, 18:38	+/–
>Но в раст ручное управление памятью! А кто говорил про Раст? Комментарий не читай, сразу из головы отвечай. О как глубоко у вас растопрошивка внедрена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

80. Сообщение от Аноним (-), 26-Янв-24, 18:50	+1 +/–
> в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot Вот поэтому секурбут нужно отключать. Я ещё лет 10 назад тут писал, что вреда от него больше, чем пользы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84

81. Сообщение от AlexYeCu (ok), 26-Янв-24, 18:51	+/–
>Если задача установки дистров возникает регулярно, то согласен, проще отключить. Про live-usb слыхал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #83

82. Сообщение от Аноним (84), 26-Янв-24, 18:59	+1 +/–
т.е. некий вражеский код уже грузится по http и, удивительным образом, этого недостаточно чтобы контухтер был не ваш, и он ещё и может обойти секуре бут. ну прям дыра :-)
Ответить | Правка | Наверх | Cообщить модератору

83. Сообщение от Карлос Сношайтилис (ok), 26-Янв-24, 18:59	+1 +/–
Что-то знакомое... Кажется это то, что используют каждый день, потому что очень удобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

84. Сообщение от Аноним (84), 26-Янв-24, 18:59	+/–
польза от него только микрософту, чтобы кроме винды ничо не ставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

85. Сообщение от Аноньимъ (ok), 26-Янв-24, 19:09	+1 +/–
> Shim заверен цифровой подписью Microsoft и Что могло пойти не так? > Для блокирования уязвимости без отзыва цифровой подписи дистрибутивы могут использовать механизм SBAT > SBAT разработан совместно с Microsoft Ok.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

87. Сообщение от Аноним (-), 26-Янв-24, 19:28	+/–
> А что интересно, криминального в вопросе, почему уязвимости, от которых Rust не защищает, в такие новости чудесным образом не попадают? В смысле не попадают? Сегодняшняя новость про GitLab чем тебе не подошла? Или LeftoverLocals? Или "Уязвимость в патчах Red Hat к загрузчику GRUB2"? Просто сишные дыры намного чаще приводят к уязвимостям, чем логические ошибки. И чем больше будут совершенствоваться средства тестирования, тем больше такого будут находить. Так что расслабься и наслаждайся зрелищем.
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от Аноним (89), 26-Янв-24, 19:44	+/–
> но для полного блокирования атаки через Shim требуется заверения новой версии в Microsoft и внедрение её в дистрибутивах. То есть, уже всем рассказали, а исправлять будут к 25-му? Мда... Отключение Secure Boot хоть отключает этот Shim?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96, #98

90. Сообщение от Аноним (90), 26-Янв-24, 19:45	+1 +/–
Ну при чем тут сишка? >выделяет буфер для принимаемых данных, учитывая не фактический размер данных, а размер, указанный в HTTP-заголовке "Content-Lenght" Люди продолжают слепо верить тому, что написано на заборе, а не своим глазам (а за забором дрова) и ни какой ЯП этого не исправит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

91. Сообщение от Аноним (-), 26-Янв-24, 19:57	–2 +/–
> Что могло пойти не так? А разве этот Shim мелкомягкие писали? Вроде нет... Так что не нужно на них всех собак вешать. > In the event that the developers need to be contacted related to a security incident or vulnerability, please mail secalert@redhat.com > secalert@redhat.com > redhat.com Так что не нужно на них всех собак вешать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #133

94. Сообщение от Аноним (94), 26-Янв-24, 20:30	+/–
Что непонятного в слове предложить? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

95. Сообщение от Аноним (94), 26-Янв-24, 20:32	+/–
Не так уж и много подождать осталось )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

96. Сообщение от Аноним (96), 26-Янв-24, 20:43	+/–
Нет. Просто даст возможность грузить неподписаные ядра. Если бы граб имеел ключ подписаный МС,то он был бы Шимом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #99

98. Сообщение от Tron is Whistling (?), 26-Янв-24, 20:50	+/–
По факту можно отключить - грузите сразу grub, а не shim. Просто grub непосредственно для секурбута не подписан, и с секурбутом его не загрузить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #103

99. Сообщение от Tron is Whistling (?), 26-Янв-24, 20:51	+/–
grub вполне себе грузится без секурбута без всяких шимов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #102, #106, #134

100. Сообщение от Аноним (-), 26-Янв-24, 20:58	+/–
Я все понимаю, но... > Уязвимость вызвана ошибкой в коде загрузки файлов по HTTP ...но зачем вот ЭТО засовывать в начальный лоадер? А, чтобы чинить было больнее, подписей отзывать пожестче и вообще? А хотя-бы в следующую стадию, подписаную каким-то своим мелким ключом это включить - умишка не хватило?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #122, #125

101. Сообщение от Аноним (-), 26-Янв-24, 21:00	+/–
> для полного блокирования атаки через Shim > требуется заверения новой версии в Microsoft Это просто позор какой-то! А если майкрософт не прочухается - наслаждайтесь вулнами. Круто.
Ответить | Правка | Наверх | Cообщить модератору

102. Сообщение от Аноним (96), 26-Янв-24, 21:05	+1 +/–
Без секюрбута все умеют.Шим грузит с секюрбутом федоркины ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #109

103. Сообщение от нах. (?), 26-Янв-24, 21:19	+/–
> По факту можно отключить - грузите сразу grub, а не shim. по сети, ага. Стесняюсь спросить - а он вообще обучен pxe-загрузке без посторонней помощи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #110, #111

104. Сообщение от Pahanivo пробегал (?), 26-Янв-24, 21:21	+/–
Отключенный - выключенный (stand-by) не безопасен на 100%, ибо интерфейсы некоторые включены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #156

105. Сообщение от ИмяХ (ok), 26-Янв-24, 21:21	+2 +/–
Линукс это безопасно, линукс - это независимость от майкрософта, говорили они.
Ответить | Правка | Наверх | Cообщить модератору

106. Сообщение от Аноним (89), 26-Янв-24, 21:30	+/–
А refind?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #107

107. Сообщение от Аноним (96), 26-Янв-24, 21:36	+/–
Примечание. В конце 2012 года компания rEFInd добавила поддержку безопасной загрузки. По умолчанию срок действия локальных ключей безопасной загрузки, созданных сценарием refind-install, составляет 10 лет. Таким образом, если вы с самого начала использовали локальные ключи, вам может потребоваться обновить их.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #108

108. Сообщение от Аноним (89), 26-Янв-24, 22:04	+/–
То есть, rEFInd будет работать с Secure Boot без Shim? Это же замечательно. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

109. Сообщение от Tron is Whistling (?), 26-Янв-24, 22:27	+/–
> Без секюрбута все умеют.Шим грузит с секюрбутом федоркины ядра. Вопрос был про отключение секурбута и гроб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

110. Сообщение от Tron is Whistling (?), 26-Янв-24, 22:29	+/–
Не уверен, насколько PXE в EFI - "без посторонней помощи", но да, есть модули PXE для EFI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

111. Сообщение от Tron is Whistling (?), 26-Янв-24, 22:30	+/–
В моём случае вообще не актуально - это либо виртуалки, либо бут с iSCSI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

113. Сообщение от vitalif (ok), 26-Янв-24, 23:24	+1 +/–
Уязвимость в секукакурбуте это не баг а фича, помогает свободе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

114. Сообщение от Аноним (114), 26-Янв-24, 23:25	+/–
Не совсем понятно, почему этот загрузчик подписывает Microsoft. Как х они тут забыли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #115, #120

115. Сообщение от Аноним (115), 26-Янв-24, 23:32	+/–
> Не совсем понятно, почему этот загрузчик подписывает Microsoft. Как х они тут > забыли? https://www.opennet.dev/opennews/art.shtml?num=36068
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

116. Сообщение от anonymous (??), 26-Янв-24, 23:36	+/–
Узявимости UEFI подобны узявимостям TPM - читать про них одно удовольствие. Жаль что эти подписи отзывают и на новых компах уже не прокатит.
Ответить | Правка | Наверх | Cообщить модератору

117. Сообщение от Аноним (117), 26-Янв-24, 23:54	–2 +/–
Вот я понял при чем тут удаленный HTTP сервер, но не понятно зачем какие то переполнения, если загрузчи!!! передается по сети в нешифрованном виде! Да можно простым MITMом скормить такому серваку руткит и не париться с переполнениями. ЗЫ1 Попробуйте защититься от этого с помощью RUSTа ЗЫ2 Попробуйте устроить ремотную уязвимость для lilo :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #155

119. Сообщение от mikhailnov (ok), 27-Янв-24, 03:16	+/–
Что эта дурацкая система подписывания загрузчиков у Майкрософта и Ко рушится — хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #121

120. Сообщение от mikhailnov (ok), 27-Янв-24, 03:21	+/–
Ключи Microsoft вшиваются в UEFI
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #132

121. Сообщение от n00by (ok), 27-Янв-24, 07:30	+/–
Видишь ли, её обломками засыпет не только тебя и твой "полностью автономный" (ц) дистрибутив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #136

122. Сообщение от n00by (ok), 27-Янв-24, 07:32	+/–
Что бы в итоге по требованию трудящихся удалить этот вечно проблемный shim. WSL2 хватит всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

123. Сообщение от Аноним (123), 27-Янв-24, 08:22	+/–
Понапридумывали всякое, какие-то подписи, удаленный доступ к загрузчику. Ну пусть как раньше сидел бы специально обученный человек в датацентре, который будет по звонку жать на ресет. Так нет, нужна удаленка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

125. Сообщение от Анонимщик (?), 27-Янв-24, 09:25	+/–
Потому что http сервер есть у каждого, а tftp надо специально поднимать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #127

126. Сообщение от Анонимщик (?), 27-Янв-24, 09:29	+/–
К это вообще в здравом уме может доверять полю content-length? Оно необязательно, то есть может отсутствовать, то есть проще рассчитывать, что этого поля нет вообще
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

127. Сообщение от нах. (?), 27-Янв-24, 09:38	+1 +/–
У tftp (серверов) в большинстве реализаций - проблемы с файлами больше 32mb У даже самых продвинутых и в идеальной сети без маршрутизации - лимит 4G т.е. меньше образа dvd с not-so-live бубунточкой. Т.е. в реальной жизни чаще не работает чем работает. Этот протокол был предназначен для передать максимум вот что-то размером с код grub'а пока более сложные негде разместить в недоиниченой памяти или более сложные протоколы неоткуда запускать. Уже даже цискины образы стало общепринятым грузить по ftp или http. С разморозочкой, в общем. Оно так уже лет 15.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #149

128. Сообщение от нах. (?), 27-Янв-24, 09:45	–1 +/–
Сократили? Сочувствую. Небось опять не на той коробке нажал ресет? ("Але, саппорт - теперь у меня ДВЕ проблемы - перезагрузите зависший сервер 15/3/21 и ОТ...СЬ от сервера в 14м ряду который вы перезагрузили вместо него!") Но не ссы, с голоду мы с тобой на ср-ной удаленке не помрем - роботы-пылесосы в ЦОДах неактуальны, надо кому-то и шваброй возюкать. А там глядишь повысят - в кондиционерщики перейдем. Работа почетная и непыльная, все уважают, дорогу освобождают аж бегом, а удаленного управления даже дорогущими цодовскими системами почему-то до сих пор не изобрели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

130. Сообщение от Аноним (130), 27-Янв-24, 09:54	+3 +/–
Если ты в здравом уме, то не будешь читать более того, что прописано в Content-Length. Но здравомыслие сейчас модно заменять безопастными языками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

132. Сообщение от RANDOMIZE USR 15616 (?), 27-Янв-24, 16:34	+/–
Кто мешает вшить свой собственный ключ онтопикам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #135

133. Сообщение от _ (??), 27-Янв-24, 19:04	+/–
Ой-вэй! Ви таки мацы объелись? На платинового спонсора - собак?!?!? Запомните дети:   ... и на третий день сделал Биллгёц интернет ...   ... и на 5 день Наделал сделал линускс ... А бабло они во все дни делали - ну скажи что не святые?!?! :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #145

134. Сообщение от _ (??), 27-Янв-24, 19:08	+/–
>grub вполне себе грузится без секурбута без всяких шимов. Без секурбута никому из здешних не упёрлось, у них там форточка без него отвалится :) А теперь если шим похерят Линукс окончательно займёт своё место - в WSL :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

135. Сообщение от _ (??), 27-Янв-24, 19:18	+/–
Зъисть то от зъисть ... да кто ж ему дастЬ?! (С) норот Не забывайте что скоро вас новый системдбуут насильно вставят по самые гланды :) По моему уже в следующей федоре обещали ... И вас перестанут волновать такие проблемы. M$ - разрешит - заработает, ну а нет - так и нет :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #138

136. Сообщение от _ (??), 27-Янв-24, 19:22	+/–
Видишь ли - ты можешь прямо сейчас стереть ключи MS из со своего компа, при этом shim ты можешь тоже выкинуть. Но ведь напуркуа тебе лаптоп без форточки :) А потому будешь сосать, но возможность за загрузить винду "убьЁш котЁнка!" :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #137

137. Сообщение от n00by (ok), 27-Янв-24, 20:45	+/–
Могу, конечно, удалить ключи МС. И свои поставить могу, и подписать ядро могу. И shim мне для загрузки ядра вообще не нужен, как и grub. У меня ведь не его "полностью автономная" (ц) ОС. Кстати, какая у тебя видеокарта, что ты такой оптимистичный, встроенная? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

138. Сообщение от RANDOMIZE USR 15616 (?), 27-Янв-24, 21:30	+/–
Переформулируем вопрос: почему нельзя а) поставить систему, б) в процессе установки вшить свой ключ, в) включить секурбут и наслаждаться секурностью? Что мешает организовать процесс таким образом и зачем тогда всовываться мелкомягкому рылу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #144

140. Сообщение от Аноним (140), 27-Янв-24, 21:47	+/–
А кто из отечественных приблуд кода к ядру поделится своим вИдением революционных течений?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #150

144. Сообщение от n00by (ok), 28-Янв-24, 08:04	+1 +/–
Потому что это требует от mikhailnov-ых непосильного: сесть и написать код, а не тупо скопировать инсталлятор из Fedora. Объяснять они могут как угодно... Я предлагал тут одному обсудить возможную реализацию, а он взял и куда-то пропал. Готовое и отлаженное, понятное дело, с радостью сджипиэлят,  а разделять риски и ответственность почему-то религия не позволяет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #148

145. Сообщение от нах. (?), 28-Янв-24, 10:33	+/–
и на седьмой день они кормили украдкой африканских детей и отдыхали в тени вышек 5G!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

148. Сообщение от Аноним (148), 28-Янв-24, 22:01	+/–
Да, не мешки..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

149. Сообщение от ryoken (ok), 29-Янв-24, 07:51	+/–
>> У tftp (серверов) в большинстве реализаций - проблемы с файлами больше 32mb А как же у меня дома по PXE с OpenMediaVault всякие Parted Magic-и и ие с ними запускаются? Размеры от 700 Мб часто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

150. Сообщение от Аноним (-), 29-Янв-24, 10:46	+/–
В основную ветку ядра Linux принято более двухсот исправлений Технологического центра исследования безопасности ядра Linux! Со списком всех принятых исправлений можно ознакомиться по ссылке: https://portal.linuxtesting.ru/LVCImprovements.html#fixed-bugs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #151

151. Сообщение от пох. (?), 29-Янв-24, 19:19	+/–
О, скрепный сайт с сертификатом от товарищмайора. Ну ок, мы не брезгливые (более странно что небрезгливы и майнтейнеры ведра, опыт "исследователей" из родного американского универа их ничему не научил, похоже), тык: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... извините, и вот на ЭТО вы пилите госбюджет?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #152, #154

152. Сообщение от пох. (?), 29-Янв-24, 19:22	+/–
извините еще раз - был не прав, вспылил, невнимательно посмотрел - глянул только код вместо описания. Товарищмайор, ваша служба и опасна и трудна! Простите за неуместное недоверие. Интересно, это мне вот так повезло с первого тыка, или там ВСЕ патчи такие и среди них спрятана парочка поинтереснее? Ну и что я должен думать о майнтейнерах ведра - тут за это банят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #153

153. Сообщение от n00by (ok), 30-Янв-24, 07:38	+1 +/–
Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет: "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание - моё) "я вам что, студент что ли? Я кандидат наук. Потрудитесь немного хотя бы, пользоваться поисковиком. http://linuxtesting.ru/astraver " "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его частью" (ц) Lord Kunzite
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #157

154. Сообщение от Аноним (-), 30-Янв-24, 10:57	+/–
А что поделать-то? DANE в браузеры так и не встроили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

155. Сообщение от Электрон (?), 31-Янв-24, 07:13	+/–
Наверняка загруженный образ проверяется на правильную подпись (соответствующую в 99% случаев Microsoft root ca)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

156. Сообщение от Онтоним (?), 31-Янв-24, 23:34	+/–
И батарейка не вынимается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

157. Сообщение от Денис (??), 07-Фев-24, 16:00	+/–
> Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет: > "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание > - моё) > "я вам что, студент что ли? Я кандидат наук. > Потрудитесь немного хотя бы, пользоваться поисковиком. > http://linuxtesting.ru/astraver " > "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его > частью" > (ц) Lord Kunzite а можете поделиться ссылкой на эти опусы? Особенно про кандидата наук интересно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #158

158. Сообщение от n00by (ok), 08-Фев-24, 08:54	+/–
>> Статический анализатор там пилят. Впрочем, его реклама некоторыми умиляет: >> "почитайте материалы ГК Астра про _верификацию_ пересобранного ими _ядра_" (подчёркивание >> - моё) >> "я вам что, студент что ли? Я кандидат наук. >> Потрудитесь немного хотя бы, пользоваться поисковиком. >> http://linuxtesting.ru/astraver " >> "многие линуксоиды бы очень поспорили с вами, что модуль ядра является его >> частью" >> (ц) Lord Kunzite > а можете поделиться ссылкой на эти опусы? Особенно про кандидата наук интересно Вот на сообщение о кандидатстве в науки https://vk.com/wall-91765504_25234?reply=25279&thread=25238 К сожалению, он так и не ответил, в каких науках допустимо называть статический анализ формальной верификацией, и почему факт верификации модуля ядра (драйвера) СЗИ Астры позволяет говорить о верификации всего ядра, когда модуль якобы не является частью ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема