RHEL, CentOS und weitere Linux-Distributionen: "BootHole"-Fixes blockieren Grub2
Besser nicht einspielen: Updates gegen die BootHole-Sicherheitslücken für RHEL, CentOS, Debian und Ubuntu verursachen auf einigen Systemen schwere Probleme.
(Bild: rootstock / Shutterstock.com)
Eigentlich sollten zwei von den Red Hat Enterprise Linux (RHEL)-Entwicklern bereitgestellte Sicherheitsupdates die vergangene Woche entdeckte Grub2-Sicherheitslücke "BootHole" schließen. Nun hat sich allerdings herausgestellt, dass die Updates RHSA_2020:3216 und RHSA_2020:3217 ihrerseits Schaden anrichten können: Offenbar können viele Nutzer nach der Anwendung überhaupt nicht mehr booten, das Grub-Menü lädt nicht.
Dasselbe Problem besteht auch beim kostenlosen RHEL-Klon CentOS. Wie sich etwas später herausstellte, besteht es mitunter allerdings auch auf Debian- und Ubuntu-Systemen. Für die verschiedenen Distributionen stehen aktualisierte Sicherheitshinweise und teils auch gefixte Pakete bereit.
Die BootHole-Bugs habe wir in einem separaten Artikel beschrieben:
RHSA_2020:3216 und RHSA_2020:3217 nicht einspielen!
Das Red Hat-Team hat einen Sicherheitshinweis zu den fehlerhaften Updates veröffentlicht. Darin wird das Problem für die RHEL-Versionen 7.8 und 8.2 bestätigt. Lediglich "potenziell betroffen" (Problem nicht bestätigt) seien die Versionen 7.9 und 8.1 EUS. Das Problem tritt bei RHEL grundsätzlich nur im UEFI- und nicht im klassischen BIOS-Modus auf.
Update 03.08.20, 14:00 + 14:15:
Red Hat hat aktualisierte Pakete des Secure-Boot-Loaders Shim bereitgestellt und den Sicherheitshinweis noch einmal aktualisiert. Dem dortigen Kommentarbereich ist zu entnehmen, dass Nutzer (evtl. zunächst auf einem Testsystem) nun unbesorgt updaten können.
Aktualisierte Grub-Pakete seien nicht mehr zu erwarten: laut Entwickler Renaud Metrich habe das Problem in fehlerhaften Shim-Paketen bestanden. Dementsprechend umfasst der Sicherheitshinweis nun zusätzlich auch "Diagnostic steps" zum Aufspüren der problematischen shim-Packages.
- RHEL 7.8: RHBA-2020:3265
- RHEL 8.0.0: RHBA-2020:3264
- RHEL 8.1.0: RHBA-2020:3263
- RHEL 8.2.0: RHBA-2020:3262
(Bild: access.redhat.com/)
Auch für CentOS gibt es aktualisierte shim-Pakete in Gestalt von shim-x64-15-8.el7_8.x86_64.rpm (CentOS 7) beziehungsweise shim-x64-15-15.el8_2.x86_64.rpm (CentOS 8).
Fixes und Hinweise für Debian und Ubuntu
Anders als bei RHEL/CentOS scheinen die Boot-Probleme auf Debian- und Ubuntu-Systemen, wenn überhaupt, dann lediglich bei der Verwendung von BIOS sowie beim Dual-Boot (Linux/Windows) aufzutreten. Für Debian Stable (Buster und Sid) beseitigt das aktualisierte Grub2-Paket 2.02+dfsg1-20+deb10u2 den Fehler.
Das Ubuntu-Team hat seinen BootHole-Artikel um einen Troubleshooting-Abschnitt erweitert. Auch hier wird im, so heißt es im Text, "unwahrscheinlichen" Fall von Boot-Problemen nach Installation der zuvor veröffentlichten Grub2-Aktualisierungen zu einem Paket-Downgrade geraten. Ansonsten gilt es, nach neuen, reparierten Packages Ausschau zu halten. (ovw)