Passwortlücke im Bootloader grub geschlossen

Die neue Version des Bootloaders grub 1.97.1 schließt eine Sicherheitslücke der Vorgängerversion 1.97, durch die sich der Passworschutz leicht umgehen läst. Dieser soll verhindern, dass sich die Boot-Parameter beliebig modifizieren lassen, was die Kompromittierung eines Systems extrem vereinfacht. Ein Programmierfehler beim Passwortvergleich führte jedoch dazu, dass es genügt, das erste Zeichen des Kennworts korrekt einzugeben.

grub unterstützt seit der in vielen Teilen vollständig überarbeiteten Version 1.97 – auch als grub2 bekannt – mit dem neuen Config-Format eine einfache Nutzerauthentifizierung. Die Passwörter müssen dazu im Klartext hinterlegt werden. Diverse experimentelle Linux-Distributionen setzen bereits grub2 ein, etwa Debian Sid und Fedora 12, aber auch das kürzlich erschienene Ubuntu 9.10.

Siehe dazu auch:

• grub2: password checking oddity, Bug-Report beim Debian-Projekt
• Passwort für Pre-Boot-Authentication bleibt im Klartext liegen auf heise Security
  

(cr)