今天清晨,红帽的 bugzilla 错误跟踪器出现了一个紧急错误——用户发现 RHSA_2020:3216 grub2 安全更新和 RHSA-2020:3218 内核安全更新导致 RHEL 8.2 系统无法启动。该错误被报告为可在任何干净的 Red Hat Enterprise Linux 8.2 最小安装上重现。
这些补丁旨在关闭 GRUB2 引导管理器中新发现的名为BootHole 的漏洞。该漏洞本身为系统攻击者留下了一种方法,可以在 Linux 系统上安装“bootkit”恶意软件,尽管该系统受到 UEFI 安全启动的保护。
RHEL 和 CentOS
不幸的是,Red Hat 对 GRUB2 和内核的补丁一旦应用,就会导致打过补丁的系统无法启动。该问题已确认会影响 RHEL 7.8 和 RHEL 8.2,并且也可能会影响 RHEL 8.1 和 7.9。RHEL 衍生发行版 CentOS 也受到影响。
Red Hat 目前建议用户在这些问题得到解决之前不要应用 GRUB2 安全补丁(RHSA-2020:3216或RHSA-2020:3217)。如果您管理 RHEL 或 CentOS 系统并相信您可能已经安装了这些补丁,请不要重新启动您的系统。使用sudo yum downgrade shim\* grub2\* mokutil和配置yum不通过临时添加exclude=grub2* shim* mokutil到/etc/yum.conf.
如果您已应用补丁并尝试(但失败)重新启动,请在故障排除模式下从 RHEL 或 CentOS DVD 启动,设置网络,然后执行上述相同步骤以恢复系统功能。
其他发行版
尽管该错误最初是在 Red Hat Enterprise Linux 中报告的,但显然相关的错误报告也来自不同系列的其他发行版。Ubuntu 和 Debian 用户报告系统在安装 GRUB2 更新后无法启动,Canonical 发布了包括在受影响系统上恢复说明的建议。
虽然 GRUB2 漏洞的影响是相似的,但范围可能因发行版而异;到目前为止,Debian/Ubuntu GRUB2 错误似乎只影响以 BIOS(而非 UEFI)模式启动的系统。修复程序已经提交到 Ubuntu 的proposed存储库,经过测试并发布到其updates存储库。更新和发布的软件包和,应该可以解决 Ubuntu 用户的问题。
对于 Debian 用户,该修复程序在新提交的包中可用grub2 (2.02+dfsg1-20+deb10u2)。
目前我们没有任何关于 GRUB2 BootHole 补丁对其他发行版(例如 Arch、Gentoo 或 Clear Linux)的缺陷或影响的消息。