В загрузчике GRUB2 обнаружена опасная уязвимость

Эксплуатация бреши позволяет локальному пользователю обойти любую парольную защиту.

Исследователи Исмаэль Риполл (Ismael Ripoll) и Эктор Марко (Hector Marco) обнаружили серьезную брешь (CVE-2015-8370) в загрузчике операционных систем GRUB2, позволявшую обойти парольную защиту.

Как сообщила компания Canonical, брешь затрагивает все поддерживаемые дистрибутивы Ubuntu Linux, в том числе Ubuntu 15.10 (Wily Werewolf), Ubuntu 15.04 (Vivid Vervet), Ubuntu 14.04 LTS (Trusty Tahr), Ubuntu 12.04 LTS (Precise Pangolin), а также производные.

Уязвимость содержится в версиях GRUB2 1.98-2.02. Эксплуатация позволяет локальному пользователю обойти любую парольную защиту и получить контроль над системой.

Эксперты рекомендуют всем пользователям дистрибутивов GNU/Linux с установленным по умолчанию загрузчиком GRUB2 в кратчайшие сроки обновиться до последней версии ПО, доступной в тестовом репозитории Arch Linux.

GRUB2 - мультисистемный, кроссплатформенный загрузчик ядра операционной системы. В основном применяется для загрузки ядер Linux. Позволяет иметь несколько установленных операционных систем на одном компьютере и при включении устройства выбирать загрузку нужной ОС. GRUB2 создан на основе PUPA и имеет модульную структуру. Поддерживает множество файловых систем, работает с BIOS и EFI.