GRUB è il bootloader predefinito per molte distribuzioni linux ormai da anni: può gestire il boot di vari sistemi operativi (Windows compreso), è programmabile per avere menù, sottomenù, sfondi, caricare driver video… e può essere usato per richiedere una password per il boot di un sistema operativo. Ed è in quest’ultima funzionalità che è stato trovato un bug.

Vuoi accedere a un sistema protetto ma non hai la password? Nessuna paura! Basta premere – esattamente – 28 volte il tasto backspace (quello normalmente sopra invio, per intenderci) e avrai la shell di emergenza di GRUB, dalla quale si può accedere ai dischi, leggere qualche file e perfino avviare il sistema stesso!

Magari utile se hai dimenticato la tua password, ma rende completamente inutile questa funzionalità sul lato sicurezza.

Come (quasi sempre) succede nel mondo opensource, chi ha trovato il problema nel codice ne ha anche dato la soluzione. E le principali distribuzioni Linux hanno già provveduto a creare i pacchetti per risolvere il problema: un update sarà sufficiente!

Per approfondimento: Back to 28: Grub2 Authentication 0-Day

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.