Temprano esta mañana, apareció un error urgente en el rastreador de errores bugzilla de Red Hat: un usuario descubrió que la actualización de seguridad RHSA_2023:3216 grub2 y la actualización de seguridad del kernel RHSA-2023:3218 hicieron que un sistema RHEL 8.2 no se pudiera iniciar. El error se informó como reproducible en cualquier instalación mínima limpia de Red Hat Enterprise Linux 8.2.
Los parches estaban destinados a cerrar una vulnerabilidad recién descubierta en el administrador de arranque de GRUB2 llamada BootHole. La vulnerabilidad en sí dejó un método para que los atacantes del sistema instalaran potencialmente malware “bootkit” en un sistema Linux a pesar de que ese sistema estaba protegido con UEFI Secure Boot.
RHEL y CentOS
Desafortunadamente, el parche de Red Hat para GRUB2 y el kernel, una vez aplicado, hace que los sistemas parcheados no se puedan iniciar. Se confirma que el problema afecta a RHEL 7.8 y RHEL 8.2, y también puede afectar a RHEL 8.1 y 7.9. La distribución derivada de RHEL CentOS también se ve afectada.
Actualmente, Red Hat aconseja a los usuarios que no apliquen los parches de seguridad de GRUB2 (RHSA-2023:3216 o RHSA-2023:3217) hasta que estos problemas se hayan resuelto. Si administra un sistema RHEL o CentOS y cree que puede haber instalado estos parches, no reinicies tu sistema. Rebaje los paquetes afectados usando sudo yum downgrade shim\* grub2\* mokutil
y configurar yum
no actualizar esos paquetes agregando temporalmente exclude=grub2* shim* mokutil
a /etc/yum.conf
.
Si ya aplicó los parches e intentó (y falló) reiniciar, inicie desde un DVD RHEL o CentOS en modo de solución de problemas, configure la red y luego realice los mismos pasos descritos anteriormente para restaurar la funcionalidad de su sistema.
Otras distribuciones
Aunque el error se informó por primera vez en Red Hat Enterprise Linux, aparentemente también están llegando informes de errores relacionados de otras distribuciones de diferentes familias. Los usuarios de Ubuntu y Debian informan que los sistemas no pueden arrancar después de instalar las actualizaciones de GRUB2, y Canonical ha emitido un aviso que incluye instrucciones para la recuperación en los sistemas afectados.
Aunque el impacto del error GRUB2 es similar, el alcance puede ser diferente de una distribución a otra; hasta ahora, parece que el error Debian/Ubuntu GRUB2 solo afecta a los sistemas que arrancan en modo BIOS (no UEFI). Ya se ha comprometido una solución para Ubuntu proposed
repositorio, probado y liberado a su updates
repositorio. Los paquetes actualizados y lanzados, grub2 (2.02~beta2-
y grub2 (2.04-1ubuntu26.2) focal
debería resolver el problema para los usuarios de Ubuntu.
Para los usuarios de Debian, la solución está disponible en un paquete recién comprometido. grub2 (2.02+dfsg1-20+deb10u2)
.
No tenemos noticias en este momento sobre las fallas o el impacto de los parches GRUB2 BootHole en otras distribuciones como Arch, Gentoo o Clear Linux.