セキュリティ情報

Eclypsium、ブートローダ「GRUB2」に存在する脆弱性「BootHole」について注意喚起を発表

Eclypsiumは7月29日(現地時間)、ブートローダ「GRUB2」に存在する脆弱性「BootHole」について注意喚起を発表した。

 「GRUB2」は、現在数多くのLinuxディストリビューションで利用されているブートローダ。そのため、「BootHole」(CVE-2020-10713など)の影響は広い範囲に及ぶという。「BootHole」は、設定ファイル「grub.cfg」に不正な記述がある場合、「grub.cfg」をGRUB2が読み込む際にバッファオーバーフローを起こす危険がある。「grub.cfg」を不正に書き換えられてしまうと、攻撃者はUEFI実行環境において任意のコードが実行できるようになる。

 「grub.cfg」は管理者権限がないと変更できないものの、この脆弱性の解消には「GRUB2」のアップデートが必要となり、ブートローダはアップデートによるトラブルでコンピュータが起動不可能になる場合もあるため、慎重に対処する必要がある。

 「BootHole」を解消するアップデートは、順次提供される。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事