GRUB (Grand Unified Bootloader) è un bootloader multi-piattaforma sviluppato dal progetto GNU e distribuito sotto licenza GPLv3 (GNU General Public License versione 3). Nato nel 1995 come sostituto di LILO (Linux Loader), GRUB si è evoluto nella versione 2.x diventando lo standard de facto per la maggior parte delle distribuzioni GNU/Linux moderne. L’ultima versione stabile disponibile è la 2.12, rilasciata 15 mesi fa il 20 dicembre 2023, compatibile con sistemi BIOS e UEFI, oltre a supportare numerosi filesystem e configurazioni avanzate di avvio.
Novità in GRUB: 73 correzioni per vulnerabilità di sicurezza
Recentemente sono state applicate 73 modifiche al codice sorgente di GRUB per risolvere altrettante vulnerabilità di sicurezza scoperte nei mesi scorsi. Sebbene queste correzioni siano state integrate nel repository software ufficiale già da febbraio 2025, non è ancora stata rilasciata una nuova versione ufficiale del bootloader.
Le vulnerabilità corrette presentano diversi livelli di criticità, alcune delle quali hanno ricevuto un identificativo CVE (Common Vulnerabilities and Exposures), il sistema standardizzato per catalogare le falle di sicurezza. Tra i problemi più significativi risolti:
- Elaborazione immagini non sicura: un attaccante potrebbe sfruttare immagini appositamente modificate utilizzate come sfondo in GRUB per eseguire codice arbitrario e prendere il controllo del sistema durante la fase di avvio. Questo tipo di vulnerabilità riguarda principalmente gli utenti che personalizzano l’aspetto grafico del bootloader con immagini non verificate.
- Bypass dei meccanismi di Secure Boot: alcune vulnerabilità permetterebbero di aggirare le protezioni implementate attraverso firme GPG o la combinazione di password GRUB con cifratura completa del disco. Questi scenari comprometterebbero i sistemi che si basano su queste tecnologie per garantire un avvio sicuro.
- Problemi nei driver dei filesystem: durante il caricamento del kernel o di altri componenti di avvio, potrebbero essere sfruttate vulnerabilità nei moduli che gestiscono i diversi tipi di filesystem, consentendo l’esecuzione di codice non autorizzato. Questo rischio è particolarmente rilevante quando si avvia il sistema da dispositivi USB potenzialmente non affidabili.
Le correzioni implementate includono protezioni contro scritture fuori dai limiti allocati (buffer overflow), overflow numerici e altre classiche vulnerabilità nella gestione della memoria. Inoltre, il comando ‘dump’, utilizzato per effettuare copie di sicurezza o esportare dati direttamente dai file system, è stato configurato per operare in modalità protetta (lockdown) quando il sistema utilizza Secure Boot. Questa modalità di protezione, progettata per garantire l’avvio sicuro e prevenire l’esecuzione di codice non autorizzato, limita l’uso del comando e riduce il rischio di esposizione a possibili vettori di attacco. In questo modo, viene rafforzata la sicurezza del sistema operativo e delle distribuzioni GNU/Linux che implementano questa funzionalità
Impatto sulle distribuzioni GNU/Linux
La buona notizia è che la maggior parte delle principali distribuzioni GNU/Linux ha già avviato la distribuzione delle correzioni attraverso i propri repository software. Tuttavia, alcune distribuzioni completamente libere sostenute dalla Free Software Foundation (FSF), come Trisquel, Parabola e Guix, si trovano a fronteggiare una situazione più articolata.
Queste distribuzioni, che pongono grande attenzione alla stabilità e verificabilità del codice sorgente, preferiscono evitare di utilizzare snapshot non ufficiali (ottenuti direttamente dal repository software Git). Secondo quanto riportato nell’annuncio di GNU Boot 0.1 RC6 (un progetto che combina Coreboot, GRUB e altri componenti per creare un’immagine di avvio completamente libera), le rispettive comunità stanno esaminando come procedere con l’aggiornamento, aspettando il rilascio di una versione ufficiale di GRUB che integri tutte le correzioni di sicurezza necessarie.
Per gli utenti che desiderano approfondire i dettagli tecnici di ciascuna vulnerabilità e delle relative correzioni, è possibile consultare l’archivio della mailing list ufficiale di GRUB, dove sono disponibili tutte le 73 modifiche con le relative spiegazioni.
Questa situazione evidenzia un’anomalia significativa: nonostante le correzioni di sicurezza per GRUB siano state effettivamente sviluppate e disponibili, non viene rilasciata una nuova versione stabile da ben 15 mesi. Questo ritardo è particolarmente insolito per un software così critico, su cui si basa il processo di avvio delle distribuzioni GNU/Linux. Una mancata pubblicazione tempestiva solleva dubbi sull’efficienza del processo di rilascio e sulla gestione delle priorità all’interno del progetto GRUB.
Questo scenario compromette la fiducia degli utenti finali e rischia di danneggiare profondamente la credibilità dell’intero ecosistema del software libero!
Fonte: https://www.phoronix.com/news/GRUB2-73-Patches-Security-2025
Fonte: https://savannah.gnu.org/news/?id=10739
Fonte: https://lists.gnu.org/archive/html/grub-devel/2025-02/msg00024.html
Source: Read More
