Linux: il bootloader GRUB riceve 73 patch di sicurezza

Il mese scorso, il bootloader GRUB, utilizzato in diverse distribuzioni Linux, è stato interessato da un importante aggiornamento che ha visto l’introduzione di 73 patch mirate a correggere diverse importanti vulnerabilità di sicurezza emerse di recente. Questi problemi, alcuni dei quali hanno ricevuto codici CVE per il loro livello di pericolosità, erano passati inosservati fino a febbraio, quando è stata resa necessaria un’azione correttiva per garantire la protezione degli utenti.

Linux: corrette una lunga lista di falle di sicurezza nel bootloader GRUB

Nonostante l’applicazione di queste patch sia stata integrata nel codice sorgente Git di GRUB per Linux, circa un mese fa, non è stata ancora rilasciata una nuova versione ufficiale del software: l’ultimo aggiornamento stabile, GRUB 2.12, risale infatti ormai a 15 mesi fa, un lasso di tempo abbastanza ampio. Il rilascio delle nuove patch di sicurezza è praticamente stato reso noto dal rilascio della versione candidata GNU Boot 0.1 RC6. Questo progetto, alternativo a GRUB, ha messo in luce le numerose vulnerabilità del bootloader, aggiornando la propria copia di GRUB con le correzioni necessarie. Gli sviluppatori di GNU Boot hanno così sottolineato l’urgenza di affrontare i problemi di sicurezza che affliggono il codice originale, spingendo gli utenti a prestare maggiore attenzione agli aggiornamenti.

Le 73 patch, i cui dettagli sono disponibili sulla lista mail di GRUB, affrontano una serie di problematiche che spaziano da scritture fuori dai limiti (out-of-bounds writes) a overflow di interi, fino a modifiche al comando “dump”, ora bloccato in modalità lockdown quando si utilizza Secure Boot. Si tratta di vulnerabilità che, se sfruttate, potrebbero compromettere la sicurezza dei sistemi. Un aspetto positivo emerge dal fatto che le principali distribuzioni Linux stanno integrando, o integreranno presto, queste patch in una forma o nell’altra, riducendo così il rischio di exploit su larga scala.

Tuttavia, l’annuncio di GNU Boot evidenzia una criticità: alcune distribuzioni Linux, supportate dalla Free Software Foundation (FSF), non si sentono a proprio agio nell’utilizzare snapshot Git di GRUB e rimangono quindi esposte a questi rischi. Questo scenario sottolinea l’importanza di un approccio proattivo alla sicurezza informatica, specialmente per chi utilizza software open source in contesti critici.