Der Release-Plan der Entwickler des Bootmanagers GRUB aka Grand Unified Bootloader sieht jährliche Veröffentlichungen vor. Somit stand GRUB 2.06 für 2020 an und der Plan war, das Update bis zur Jahresmitte zu veröffentlichen. Mit rund einem Jahr Verspätung wurde GRUB 2.0.6 nach einem RC im März aber erst jetzt freigegeben.
Aus Gründen…
Der hauptsächliche Grund für die Verspätung sind die Patches für die Sicherheitslücken BootHole/BootHole2, die bisher nicht in einer stabilen GRUB-Version enthalten waren. Das hatte zur Folge, dass Entwickler die Patches auch auf ältere, nicht mehr unterstützte Versionen von GRUB angewandt haben, was zu schwerwiegenden Problemen führen konnte.
Acht weitere Lücken
Weiter zur Verspätung beigetragen haben acht Sicherheitslücken, die in der Folge von Boothole im März 2021 entdeckt wurden. Die als GRUB2 Secure Boot Bypass 2021 bezeichneten Lücken waren in der Lage, UEFI Secure Boot auszuhebeln. Um kompromittierte Komponenten zeitnah per UEFI Revocation sperren zu können, wurde von Microsoft und der Linux Community das UEFI Secure Boot Advanced Targeting-Modell (SBAT) entwickelt, dass nun in GRUB 2.0.6 integriert ist. Die ursprünglichen Boothole-Patches ebenso integriert wie die überfällige Unterstützung für GCC 10 und Clang/LLVM 10.
LUKS2-Volumes unterstützt
Was die neuen Entwicklungen für GRUB 2.0.6 betrifft, so sticht die Unterstützung für verschlüsselte LUKS2-Volumes heraus. Des Weiteren wurde Unterstützung für die Xen-Sicherheitsmodule XSM und FLASK eingebaut sowie ein Backup/Restore-Tool. Die externe Anwendung os-prober, die dazu dient andere auf demselben Rechner installierte Betriebssysteme zu erkennen und entsprechende Menüeinträge für diese zu erzeugen, ist mit GRUB 2.0.6 aus Sicherheitsgründen deaktiviert, da die automatische und stille Ausführung einen Angriffsvektor darstellt. Der Quellcode von Grub 2.06 ist auf der Projekt-Website verfügbar, wo auch die Dokumentation zu GRUB 2.0.6 zu finden ist.
Gibt es für laufende Systeme für den User denn irgend etwas zu beachten?
Ich denke, dass os-prober jetzt aktuell, deshalb nicht mehr automatisch bei einem grub update ausgeführt wird, hat den Grund, dass man erst sicher stellen möchte, dass os-prober auch mit dem veränderten grub noch einwandfrei arbeitet und keine bestehende Konfiguration eigenständig abändert.
Die wichtigsten Änderungen ergeben sich doch wohl erst mit der Auslieferung neuer Installationsmedien. Wenn ich mich nicht irre (Karl May).
Es wäre interessant, was genau Franken Debian in deinen Einsatzszenario bedeutet?
Ubuntu 20.04.2! Für mich ein sehr zuverlässiges Betriebssystem, dennoch konnte ich mir hier in der Vergangenheit oft anhören, das Franken Debian schlecht sei. Die Community hier ist toxisch. Gibt weitaus bessere, was ich sehr schade finde!
Glaubst Du, je öfter Du ‘toxische Community’ wiederholst, desto eher wird es auch wahr?
Weil in Kommentaren nicht deine Überzeugung geteilt wird, sind die Kommentarschreiber bzw. die Plattform also toxisch?
Willkommen in der pluralen Gesellschaft mit Meinungsvielfalt.
Nebenbei hast du weder Debian verstanden, noch was mit FrankenDebian gemeint ist.
Hat nicht viel mit Meinungsfreiheit zu tun, wenn ich als Gnu/Linux Neuling mich hier anmelde und direkt blöd angemacht werde! Aber so ist die Linux Welt wohl!!
Nimm es einfach hin, dass nicht jeder Mensch deine Meinung teilt, oder Ubuntu/Canonical gut findet und dir widerspricht.
Vorraussichtlich bereue ich diesen Kommentar nach dem Schlafen wieder, weil du deinen Opfermythen pflegen konntest.
Sehe mich nicht als Opfer sondern bin nur schockiert das für ein Betriebssystem Grabenkriege geführt werden! Es ist ein Computer inkl. einer Software. Was ist denn los^^
Dann hör’ doch bitte auf zu heulen!
Naja, wenn Du doch ein Neuling wärst, dann solltest Du doch erstmal den Ball flach halten und nicht von Dingen reden, worüber Du ( als Neuling) nichts weist!
Du wirkst halt unglaubwürdig und eher als ein Troll; wenn jedes 3te Wort “Franken Debian” ist
Nein, so ist nicht die Linux-Welt, sondern so ist die Welt. Communities sind überall “toxisch”. Es gibt nunmal leider mehr *rschl*cher als Köpfe auf der Welt.
Mit zunehmenden Alter reift diese Erkenntnis 😉
https://wiki.debian.org/DontBreakDebian#Don.27t_make_a_FrankenDebian
Kinder das Frankendebian ist Mint weil es lustig Dummbuntu und Debian mischt
Ich dachte gestern ich hätte das nur geträumt. Doch in der Tat Grub2 ist endlich da. Funktioniert nun endlich die direkte Einbindung eines verschlüsselten /boot, oder erfordert das immer noch eine lästige Konfiguration nach der Installation? Das sollte mittlerweile korrekt erkannt werden, angesichts dessen wie lange das schon bemängelt wird. Darüber hinaus wurde es echt Zeit, dass nach unzähligen Jahren endlich LUKS2 unterstützt wird, nachdem das im Cryptsetup schon lange Standard ist, und einem verschlüsselten /boot umständlich im Wege stand. Allerdings wird es das Upgrade wohl nicht mehr in Debian 11 schaffen, obwohl es bitter notwendig wäre nicht noch weitere 5 Jahre mit Grub 2.04 herum zu gammeln.
Ich vermute mal, das wird’s als Backport geben.
Verschlüsseltes /boot ohne die abartig langen Unlock-Zeiten wäre schon was feines, würde mich auch interessieren ob das jetzt in Reichweite ist?
Wenn os-prober deaktiviert ist weil Sicherheitsrisiko, heißt das bei Multiboot ein Konfig Datei
selbst erstellen ? Oder os-prober aktivieren mit Sicherheitsrisko? Oder bastelt jede Distro sich eine Lösung. Bin aus der Doku nicht so richtig schlau geworden.
Es geht nach meinem Verständnis eher darum, dass os-prober nicht automatisch und still ausgeführt wird, ohne dass der Anwender das mitbekommt und somit die erstellte Datei auch nicht überprüft.
Hallo,
aus der Doku zu Grub 2.0.6:
‘GRUB_DISABLE_OS_PROBER’
The
grub-mkconfighas a feature to use the externalos-proberprogram to discover other operating systems installed on the same machine and generate appropriate menu entries for them. It is disabled by default since automatic and silent execution ofos-prober, and creating boot entries based on that data, is a potential attack vector. Set this option to ‘false’ to enable this feature in thegrub-mkconfigcommand.Grüße
Klaus.
Gibt es das auch für mein Franken Debian?
Die Antwort ist nur ein
apt policyentfernt, oder?