Shim 漏洞(Windows11 22631.4037更新导致) 导致 Linux 无法开机- Community

[problem help] Shim 漏洞(Windows11 22631.4037更新导致) 导致 Linux 无法开机

deepin 23 480 views · 8 replies ·

念小石头

deepin

2024-08-16 09:15

Author

由于 Win11 22631.4037 8月更新--阻止 Linux EFI (Shim 引导加载程序)运行，导致Deepin 开机出现上图提示，

【扩展查询】

1：Win11 更新详情 https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

[安全启动高级目标 (SBAT) 和 Linux 可扩展固件接口 (EFI) ] 此更新将 SBAT 应用于运行 Windows 的系统。这会阻止易受攻击的 Linux EFI (Shim 引导加载程序) 运行。此 SBAT 更新不适用于双启动 Windows 和 Linux 的系统。应用 SBAT 更新后，较旧的 Linux ISO 映像可能无法启动。如果发生这种情况，请与 Linux 供应商合作以获取更新的 ISO 映像。

Windows 安全启动	CVE-2023-40547

Shim 漏洞（CVE-2023-40547）是一个严重的安全问题，影响了大多数 Linux 系统。Shim 是一个用于支持安全启动的引导加载程序，它在 Linux 启动过程中扮演着关键角色。该漏洞允许网络攻击者通过特制的 HTTP 请求绕过安全启动并控制目标系统。

这个漏洞源于 Shim 的缓冲区溢出错误，当加载特定的 EFI 图像时发生。具体来说，攻击者可以利用这个漏洞执行远程代码，从而完全控制受影响的系统。由于 Shim 被广泛使用于各种 Linux 发行版中，因此其影响范围非常广。

为了修复这个漏洞，Shim 的维护者已经发布了版本 15.8，其中包含了多个安全补丁，包括针对 CVE-2023-40547 的修复。用户被建议尽快更新他们的系统以避免潜在的安全风险。

总结而言，Shim 漏洞使许多 Linux 系统面临被网络攻击者控制的风险，而及时的系统更新是防止此类攻击的重要措施。

组织名称	概述
Red Hat	科技/软件一家提供开源解决方案的公司，其维护的Shim bootloader包含了多个安全漏洞。
SUSE	科技/软件一家专注于企业Linux发行版的公司，其UEFI引导加载程序（shim）支持用户自定义和签名的Shim引导程序。

相关人物

人物名称	概述
Steve Zurier	个人/评论员提到了Shim bootloader的关键漏洞CVE-2023-40547的影响。

来源

Shim 漏洞使大多数 Linux 系统容易受到攻击
Most Linux Systems Exposed to Complete Compromise via Shim ... [2024-02-07]
Shim vulnerability exposes most Linux systems to attack [2024-02-09]
KYSA-202309-0067 - 安全漏洞 [2024-01-11]
Linux の全ブートローダーが危険：shim で発見された RCE 脆弱性 CVE-2023-40547 とは？ [2024-01-25]
Critical Boot Loader Vulnerability in Shim Impacts Nearly All Linux Distros [2024-02-07]
How to fix CVE-2023-40547 in Linux | Vulcan Cyber [2024-02-08]
RedHat patches critical flaw in Linux shim bootloader [2024-02-07]
CVE-2023-40547 Shim RCE Vulnerability Threatens Linux Systems [2024-02-08]
The Real Shim Shady - How CVE-2023-40547 Impacts Most Linux Systems [2024-02-06]
所有Linux发行版存在shim漏洞；多个国家或地区黑客利用AI进行网络攻击；美国挫败俄方网络间谍活动网络 | 安全周报 0216 [2024-03-15]
所有Linux发行版存在shim漏洞；多个国家或地区黑客利用AI进行 ... [2024-03-28]
多个国家或地区黑客利用AI进行网络攻击；美国挫败俄方网络间谍 ... [2024-05-10]
CentOS 7 : shim (RHSA-2024:1959) | Tenable® [2024-04-26]
RHSA-2024:1959 - Security Advisory - Red Hat Customer Portal [2024-04-23]
国产操作系统、麒麟操作系统——麒麟软件官方网站
Docker-CVE-2020-15257 [2022-01-17]
漏洞复现与分析- 信安成长日记
PDFSUSE Linux Enterprise Server 15 SP5 管理指南. SUSE Linux Enterprise Server (SUSE). [2023-12-11]
Nvd - Cve-2023-40547 [2024-02-07]
PDFOpen Core Reference Manual (1.0.1) [2024-05-10]
GRUB 2 boot loader - CVE-2020-10713 - Red Hat Customer Portal
PDFRed Hat Enterprise Linux 9 管理、监控和更新指南. Red Hat. [2024-06-13]
RHEL 7：shim (RHSA-2024:1959) | Tenable® [2024-04-23]
安全启动
host模式容器逃逸漏洞（CVE-2020-15257）技术分析 [2020-12-03]
PDFLinux Kernel Trust Update. Hyunik Kim等. [1993-01-01]
PDFCIS Red Hat Enterprise Linux 8.0.0 - 2022. Cisco Security. [2022-02-22]
PDFSUSE Linux Enterprise Desktop 15 SP5 管理指南. SUSE Linux Enterprise LLC 和贡献者. [2023-12-11]

大纲

Shim 漏洞概述

Shim 是Linux启动过程中与固件之间的关键链接

不属于Linux的一部分，存在缓冲区错误漏洞

CVE-2023-40547 漏洞详情

一种远程代码执行(RCE)脆弱性

可能导致远程代码执行的关键漏洞

所有Linux发行版都受到影响

安全影响

大多数Linux系统容易受到攻击

控制系统，绕过安全启动

所有Linux系统的安全风险增加

修复与应对措施

RedHat发布补丁修复CVE-2023-40547

更新Shim版本至15.8以修复六个安全漏洞

用户应立即更新系统并实施最佳实践预防未来感染

社区反应与建议

开源社区面临确保基础组件安全的挑战

建议用户及时更新系统并采取预防措施

生成演示文稿

内容由AI大模型生成，不能保证完全真实，请仔细甄别

Reply Like 2 Favorite View the author

All Replies

摆脱巨硬

deepin

2024-08-16 09:21

os界的二选一，长见识了，估计要被欧美的反垄断部门罚了。

Reply Like 0 View the author

乾豫恒益

deepin

2024-08-16 09:44

MicroSoft开始走下坡路了。。。这招数都是临挂掉前才能用的办法。。。

Reply Like 1 View the author

jjcui8595

deepin

2024-08-16 09:48

楼主用心了！已经遇到更新后无法启动Linux问题，似乎可以通过PE中的修复Windows引导暂时解决。

Reply Like 0 View the author

jjcui8595

deepin

2024-08-16 09:48

摆脱巨硬：

os界的二选一，长见识了，估计要被欧美的反垄断部门罚了。

的确有这种可能

Reply Like 0 View the author

神末shenmo

deepin

Spark-App

2024-08-16 09:50

Why is this Red Hat, Inc. CVE included in the Security Update Guide?

The vulnerability assigned to this CVE is in Linux Shim boot. It is being documented in the Security Update Guide to announce that the latest builds of Microsoft Windows address this vulnerability by blocking old, unpatched, Linux boot loaders by applying SBAT (Secure Boot Advanced Targeting) EFI variables in the UEFI library. Please see Security Update Guide Supports CVEs Assigned by Industry Partners for more information.

For more information see: CVE-2023-40547.

Windows 11, version 24H2 is not generally available yet. Why are there updates for this version of Windows listed in the Security Updates table?

The new Copilot+ devices that are now publicly available come with Windows 11, version 24H2 installed. Customers with these devices need to know about any vulnerabilities that affect their machine and to install the updates if they are not receiving automatic updates. Note that the general availability date for Windows 11, version 24H2 is scheduled for later this year.

Will this update affect my ability to boot Linux after applying this update?

To address this security issue, Windows will apply a Secure Boot Advanced Targeting (SBAT) update to block vulnerable Linux boot loaders that could have an impact on Windows security. The SBAT value is not applied to dual-boot systems that boot both Windows and Linux and should not affect these systems. You might find that older Linux distribution ISOs will not boot. If this occurs, work with your Linux vendor to get an update.

红帽提的漏洞

Reply Like 0 View the author

念小石头

deepin

2024-08-19 15:15

BIOS 恢复出厂设置即可恢复

Reply Like 0 View the author

念小石头

deepin

2024-08-19 15:58

念小石头：

BIOS 恢复出厂设置即可恢复

猜测，阻止 linux 启动的文件在BIOS里（11代intel组装机，无硬盘依旧提示上图，）

Reply Like 0 View the author

念小石头

deepin

2024-08-20 16:03

jjcui8595：

楼主用心了！已经遇到更新后无法启动Linux问题，似乎可以通过PE中的修复Windows引导暂时解决。

版主删帖吧，今天（之前 deepin+win11 联网更新的）又重【全新】安装了 2个系统（相同版本号），一切正常

Reply Like 0 View the author

New Thread

Popular Ranking

Change

Popular Events