kledgeb UbuntuやLinuxの最新情報を紹介

Ubuntu 20.10 その89 - GRUB2にセキュアブートを回避可能な脆弱性とUbuntuの対応方針

GRUB2にセキュアブートを回避可能な脆弱性

「GRUB2」にUEFIセキュアブートを回避可能な脆弱性が見つかりました。
この脆弱性と「Ubuntu」の対応方針を紹介します。


  • GRUB2 Secure Boot Bypass 2021

最新情報を入手するには

本脆弱性と「Ubuntu」の対応状況に関する詳細及び最新の情報は、以下を参照してください。

  • GRUB2SecureBootBypass2021

脆弱性の概要

ローカルで管理者権限を持つ攻撃者や物理的にPC(マシン)にアクセス可能な攻撃者は、「GRUB2」モジュールの署名チェックを回避し、信頼されていない任意の「GRUB2」モジュールをロードできます。
これにより「UEFI」のセキュアブートを回避できます。

CVE

「CVE」は脆弱性を一意に識別する識別子です。
本脆弱性では以下の「CVE」が割り当てられています。

  1. CVE-2020-14372
  2. CVE-2021-20233
  3. CVE-2020-25632
  4. CVE-2020-27779
  5. CVE-2021-20225
  6. CVE-2020-27749
  7. CVE-2021-3418
  8. CVE-2020-25647

Ubuntuの対応方針

脆弱性のある「GRUB2」をセキュアブート環境で確実に実行されないようにするため、本脆弱性の対応は複数のアップデートや手続きで構成されています。

1.GRUB2のアップデート

サポート対象になっているすべての「Ubuntu」に、本脆弱性に対応した「GRUB2」がリリースされます。

  • Call for testing: grub2 security updates

本脆弱性は「UEFI」上で発生する問題であり、UEFIシステム向けの「GRUB2」がアップデートの対象です。
本脆弱性に影響を受けないBIOSシステム向けの「GRUB2」はアップデートの対象外です。

このアップデートではサポート対象になっているすべての「Ubuntu」で、同一バージョンのUEFIシステム向け「GRUB2」がリリースされます。
バージョンを揃えることで対応コストを抑えられます。

2.shimのアップデート

「shim」はOSの起動プロセスにおいて「UEFI」のファームウェアと「GRUB2」を仲介する小さなプログラムです。
「shim」はMicrosoftのCAで署名されており、これがないとセキュアブート環境で「GRUB2」を起動できません。

脆弱性に対応した「DBX」及び「SBAT(Secure Boot Advanced Targeting)」に対応した「shim」がリリースされますが、作業量が多く他のアップデートよりも遅れてリリースされます。
また「shim」は「Vendor DBX」にも対応し、信用できないバイナリーを「Vendor DBX」に指定できるようになりました。

SBATとVendor DBX

「DBX」には容量に限りがあるため、影響を受けるすべての「GRUB2」を指定することができません。
そこで「SBAT」と「Vendor DBX」が考案され、影響を受ける「GRUB2」やその他OSの起動に関連するコンポーネントのロードを「SBAT」及び「Vendor DBX」で検証及び拒否する仕組みが開発されました。

注意

「GRUB2」をアップデートする前に「shim」のみアップデートしてしまうとその「GRUB2」は信用されなくなるため、UEFIセキュアブート環境でOSを起動できなくなります。

3.fwupdのアップデート

「fwupd」はUEFIファームウェアなどファームウェアの管理やアップデートを実行するサービスです。
「SBAT」セクションをバイナリーにアタッチするため、「fwupd」のアップデートも必要になります。
こちらも他のアップデートよりも遅れてリリースされます。

4.ディスクイメージの再作成

上記「1.」から「3.」のアップデートが出揃った後、必要に応じてディスクイメージの再作成が行われる予定です。

5.失効リストの更新

上記「2.」に関連する内容ですが、影響を受ける「GRUB2」がロードされないように失効リストが更新されます。
この時以前の「BootHole」も含め影響を受ける「GRUB2」の情報は「DBX」から「shim」バイナリーの「Vendor DBX」に移されます。
また「Vendor DBX」には別のセキュアブートを回避可能な脆弱性を持つ「Linux kernel」も指定されます。

GRUB2パッケージの修正バージョン

本脆弱性に対応した「GRUB2」パッケージのバージョンは以下のようになっています。

OS ベースパッケージ 署名付き
Ubuntu 20.10 grub2-unsigned 2.04-1ubuntu42 grub2-signed 1.164
Ubuntu 20.04 LTS grub2-unsigned 2.04-1ubuntu42 grub2-signed 1.164
Ubuntu 18.04 LTS grub2-unsigned 2.04-1ubuntu42 grub2-signed 1.164
Ubuntu 16.04 LTS grub2-unsigned 2.04-1ubuntu42 grub2-signed 1.164
Ubuntu 14.04 ESM grub2-unsigned 2.04-1ubuntu42 grub2-signed 1.164

まだいずれの「GRUB2」もテスト中であり、ユーザー向けにアップデートはリリースされていません。

Ubuntu
スポンサー
コメント
コメントポリシー
コメントをする前に UbuntuのCode of Conduct(CoC/行動規範) を確認し、CoCに沿ったコメントをお願いします。
コメントの使い方は、コメントの使い方を参照してください。
同一カテゴリーの記事
SNS
人気の記事
  • Ubuntu 22.04 LTSのインストール その5 - UEFI環境でパーティションの作成と構成 〜 ブートローダーのインストール先の選択
    UEFI環境でパーティションの作成と構成を行う UEFI環境でパーティションの作成と構成を行います。
  • Ubuntu 22.04 その120 - UbuntuのブートローダーをBoot Repairで修復するには・Ubuntuが起動しないトラブルを解決
    UbuntuのブートローダーをBoot Repairで修復するには 「Boot Repair」はOSのブートローダーに起因するOSが起動しない問題を簡単に解決してくれるアプリです。
  • Ubuntu 22.04 その79 - 画面ロックの有効・無効を設定するには・画面ロック時の設定をカスタマイズするには
    画面ロックの有効・無効を設定するには 一定時間ユーザーによる操作がない時に、自動的に画面をロックしパスワードで保護したり、画面をブランク状態にできます。
  • Ubuntu 22.04 その98 - 入力ソースとキーボートレイアウトと日本語入力のカスタマイズ
    入力ソースとキーボートレイアウトと日本語入力 「Ubuntu」ではユーザーが利用しているキーボードレイアウトや日本語入力のカスタマイズが可能です。
  • Ubuntu 22.04 その95 - ディスプレイサーバーを切り替えるには・XorgとWayland
    ディスプレイサーバーを切り替えるには 「Ubuntu」はデフォルトで2種類のディスプレイサーバーを提供しています。
  • VirtualBox その125 - ゲストOSのUbuntuにLinux Guest Additionsをインストールするには
    ゲストOSのUbuntuにLinux Guest Additionsをインストールするには 仮想マシンにインストールしたゲストOSの「Ubuntu」に、「Linux Guest Additions」をインストールする方法です。
  • Ubuntu 24.04 その49 - Ubuntu 24.04.2 LTSのリリーススケジュール
    Ubuntu 24.04.2 LTSのリリーススケジュール Ubuntu 24.04.2 LTS のリリーススケジュールを紹介します。
  • Ubuntuのバージョンと開発コードの対応表
    UbuntuのバージョンとUbuntuの開発コード 「Ubuntu」には各バージョンごとに開発コードが設定されます。
  • Lubuntu その23 - Lubuntu 25.04 の開発状況・インストーラーの改善や Wayland の対応方針
    Lubuntu 25.04 の開発状況 現在 Lubuntu 開発チームは次期バージョンの Lubuntu 25.04 を開発しています。 Lubuntu 25.04 の開発状況を紹介します。
  • Ubuntu 25.04 その8 - Ubuntu 25.04 の開発方針とロードマップ(2025年2月版)・GNOME 48 の採用やインストーラーの改善
    Ubuntu 25.04 の開発方針とロードマップ Ubuntu 25.04 の開発方針とロードマップを紹介します。
記事のピックアップ
オプション