Debian 安全漏洞集
2014-10-06 19:19:58 
阿炯
APT文件签名验证安全漏洞
修复持续两年的 ARM64 安全启动问题
APT文件签名验证安全漏洞
Debian于2014年10月上旬发布安全公告,发现包管理器APT的文件签名验证存在多个安全漏洞,建议用户升级APT包——当然你可以选择用apt-get升级,或者手动下载升级包,自己验证签名然后安装。包管理器APT的漏洞包括:不能正确无效化未验证的数据,不正确验证304回应,当Acquire::GzipIndexes选项 启用时不执行校验和校验,apt-get download命令下载的二进制包没有正确执行验证。漏洞影响三个Debian版本:squeeze、wheezy和jessie。
修复持续两年的 ARM64 安全启动问题
Debian 在 ARM 单板计算机中相当受欢迎,但需要注意的是,Debian 的 ARM64 安全启动支持其实已经失效了两年。2023年4月下旬官方称修复程序正在紧急开发和合并,应该会出现在今年的 Debian 12 “Bookworm” 版本中。
3 月底, Microsoft 签名的 shim 和 Debian 签名的 GRUB2 引导加载程序的损坏问题受到开发团队的关注。在修复这两个问题的时候,开发组发现 Debian 的安全启动早已不适用于 arm64 架构,这个新 Bug 随后被发布到 Debian Bug 邮件列表。邮件显示,至少从 2021 年 5 月开始,Debian 的 ARM64 版本就附带损坏的安全启动支持。
随后 Debian 团队开始针对该 Bug 紧急开发修复补丁:通过从上游 GRUB2 中挑选一些部件来加载 ARM64 的安全启动。据邮件列表的最新消息, arm64 上的安全启动功能已经修复,开发组呼吁大家帮忙测试一下:arm64 上的安全启动应该可以在可以在 grub2 2.06-9 、shim 1.39 或更高版本上正常工作。如果你有支持安全启动的硬件,请试一试。只需确保硬件上的 grub-efi-arm64 签名和 shim 签名包是最新版本即可。
该补丁应该会在 Debian 12.0 Bookworm 中发挥作用, 但 Bookworm 正处于冻结期,目前该补丁正在等待审批。
修复持续两年的 ARM64 安全启动问题
APT文件签名验证安全漏洞
Debian于2014年10月上旬发布安全公告,发现包管理器APT的文件签名验证存在多个安全漏洞,建议用户升级APT包——当然你可以选择用apt-get升级,或者手动下载升级包,自己验证签名然后安装。包管理器APT的漏洞包括:不能正确无效化未验证的数据,不正确验证304回应,当Acquire::GzipIndexes选项 启用时不执行校验和校验,apt-get download命令下载的二进制包没有正确执行验证。漏洞影响三个Debian版本:squeeze、wheezy和jessie。
修复持续两年的 ARM64 安全启动问题
Debian 在 ARM 单板计算机中相当受欢迎,但需要注意的是,Debian 的 ARM64 安全启动支持其实已经失效了两年。2023年4月下旬官方称修复程序正在紧急开发和合并,应该会出现在今年的 Debian 12 “Bookworm” 版本中。
3 月底, Microsoft 签名的 shim 和 Debian 签名的 GRUB2 引导加载程序的损坏问题受到开发团队的关注。在修复这两个问题的时候,开发组发现 Debian 的安全启动早已不适用于 arm64 架构,这个新 Bug 随后被发布到 Debian Bug 邮件列表。邮件显示,至少从 2021 年 5 月开始,Debian 的 ARM64 版本就附带损坏的安全启动支持。
随后 Debian 团队开始针对该 Bug 紧急开发修复补丁:通过从上游 GRUB2 中挑选一些部件来加载 ARM64 的安全启动。据邮件列表的最新消息, arm64 上的安全启动功能已经修复,开发组呼吁大家帮忙测试一下:arm64 上的安全启动应该可以在可以在 grub2 2.06-9 、shim 1.39 或更高版本上正常工作。如果你有支持安全启动的硬件,请试一试。只需确保硬件上的 grub-efi-arm64 签名和 shim 签名包是最新版本即可。
该补丁应该会在 Debian 12.0 Bookworm 中发挥作用, 但 Bookworm 正处于冻结期,目前该补丁正在等待审批。