[Sysadmins] grub2: CVE-2015-8370

[Michael Shigorin]

	Здравствуйте.
Если вдруг кто у нас пользуется функциональностью выставления
паролей на GRUB2 (что в его текущем виде было бы странно, она
там совершенно идиотская) -- имейте в виду, она ещё и дырява:
http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html

Проверка -- при запросе логина 28 раз нажать "backspace".

Просьба ко всем пользователям GRUB2 проверить, как у вас работает
сборка из задания http://git.altlinux.org/tasks/155000
(проверена на p7/branch, найдена совместимой):

apt-repo add 155000
apt-get update
apt-get install grub2-common
apt-repo rm 155000

Там же доступен обновлённый alterator-grub, который весной
был обучен эту самую функциональность задействовать, _НО_
в варианте с разрешением неинтерактивной загрузки, когда
не предпринимается попыток изменения типа/опций ядра
(в grub конфигурируется юзер "boot" с указанным паролем).

Поскольку это изменение потребовало изменения поведения
самого grub2 (как было сделано и в федоре в своё время),
то пользующимся запароливанием стоит обратить внимание
и на этот момент:

ДЛЯ ЗАГРУЗКИ ПО УМОЛЧАНИЮ ПАРОЛЬ НЕ ЗАПРАШИВАЕТСЯ

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info