Новый механизм безопасной загрузки Oracle Linux вызвал критику экспертов

Компания Oracle добавила возможность UEFI Secure Boot в новую версию своего дистрибутива Linux, но безопасность этого механизма вызвала сомнения у специалистов.

В частности, Мэтью Гарретт (Matthew Garrett), разработчик ядра Linux и специалист по безопасности в Nebula Inc., получивший награду от FSF за реализацию поддержки UEFI Secure Boot в Linux, заявил в своем Twitter, что единственное ядро от Oracle с более-менее надежной защитой — это ядро от Red Hat, форком которого является ядро Oracle Linux. Проблема состоит в том, что ядро Unbreakable Enterprise Kernel от Oracle поддерживает kexec_load() и подписано тем же ключом, что и оригинальное ядро от Red Hat.

Процесс Secure Boot от Oracle в подробностях описан здесь. Основная идея этого механизма состоит в том, что все ПО на каждом шаге загрузки проверяется на аутентичность с помощью цифровых подписей. Если замечания Мэтью Гарретта соответствует действительности, то проблема с kexec_load() открывает большую брешь в безопасности, так как с помощью этого системного вызова ядро может быть подменено.

Постоянная ссылка к новости: http://www.nixp.ru/news/13277.html. Aлександр по материалам theregister.co.uk.