web analytics
debian 10.5 buster secure boot boothole

Debian 10.5 Buster è ufficiale: include le patch per BootHole

A pochi mesi dal rilascio della versione 10.4, è stato ufficializzato Debian 10.5 Buster. In questa release sono compresi importanti bug fix, aggiornamenti di sicurezza e le mitigazioni necessarie per la vulnerabilità BootHole, legata al Secure Boot.

Debian Buster 10.5, risolto parzialmente BootHole

Il Debian project, tramite questo post pubblicato sul sito ufficiale, ha reso noto il rilascio della quinta point release di Debian 10. Debian 10.5 contiene numerose correzioni: presenta 101 bug fix ed oltre 60 aggiornamenti legati a problematiche di sicurezza. In particolare, sono state risolte le falle, recentemente scoperte, legate a GRUB 2 ed al Secure Boot.

debian 10.5 buster secure boot boothole
La prima fase del processo del Secure Boot

Il rilascio delle versioni corrette dei pacchetti di Debian, tuttavia, non è sufficiente per risolvere completamente BootHole. Eventuali malintenzionati, infatti, potrebbero ancora utilizzare le versioni precedenti di questi programmi per aggirare il Secure Boot. La maggior parte dell’hardware x86 è infatti commercializzato con precaricato un set di chiavi fornito da Microsoft. Il passo successivo per mitigare definitivamente la vulnerabilità, quindi, dovrà essere fatto proprio dal colosso di Redmond. In particolare, si tratta di aggiornare il DBX, acronimo di Disallow DB, per escludere i binari fallati.

Serve ancora del tempo…

DBX è uno dei due database, utilizzati dal secure boot, per conservare i checksum e le chiavi necessari per la gestione dei permessi di caricamento delle applicazioni. Nel caso in cui sia richiesto il caricamento di un codice firmato con una chiave contenuta del DBX, ad esempio, il boot non va a buon fine. I fornitori BIOS / UEFI, quindi, dovranno includere il nuovo elenco di revoche nelle nuove versioni dei propri firmware.

debian 10.5 buster secure boot boothole
La fase conclusiva del Secure Boot

Nell’algoritmo riportato nell’immagine, tra l’altro, si nota che nel processo decisorio sulla firma dei pacchetti rientra anche un altro programma, denominato Shim. Questa applicazione contiene i certificati propri di Debian ed un database di chiavi ed hash considerati sicuri. Questi dati vengono utilizzati per verificare la firma del bootloader stesso, in maniera tale da assicurarsi che non sia stato compromesso. Una volta che GRUB 2 è stato correttamente caricato, poi, si passa alla verifica della firma relativa al Kernel.

Download

È possibile procedere al download delle nuove immagini di Debian tramite questo link, per una numerosa serie di architetture, tra le quali, ovviamente, i processori di tipo i386, amd64 ed ARM. Per le prime due architetture, sono disponibili anche delle versioni live con preinstallati, alternativamente, KDE, GNOME, XFCE, LXDE, LXQt, Cinnamon e Mate.

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Altre storie
zeit cron task
[GUIDA] Pianificate i vostri task su Linux con Zeit, pratica GUI Qt