Quando la soluzione è peggio del problema: la fix per Boothole impedisce l’avvio dei sistemi Red Hat (e CentOS)

Abbiamo parlato la scorsa settimana del problema ButtBoothole, una falla di sicurezza per tutti i sistemi che utilizzano secure boot (quindi sì, tutti) che può essere veicolata mediante Grub, il boot loader utilizzato di default da Linux.

Ovviamente tutte le distribuzioni sono corse ai ripari, con la prontezza tipica del mondo open-source, producendo le patch che risolvono il problema in tempo record, in maniera quasi contestuale all’annuncio della vulnerabilità.

Ora, alla luce di un problema simile, la prima cosa che ciascun sysadmin proattivo ed attento fa è quella di applicare la patch il prima possibile. Ed è stato esattamente quello che fatto l’utente are-support trovandosi, dopo il reboot un sistema non avviabile, come a poi prontamente descritto in un dettagliato bug.

Insomma, la patch prodotta da Red Hat di fatto rendeva inavviabili tutti i sistemi Red Hat Enterprise Linux (7 e 8) e CentOS (7 e 8). Un bel pasticcio che, come di consueto, è stato sistemato in tempo record, basti pensare che il bug originale è stato aperto il 2020-07-30 05:15:35 UTC e chiuso (con i pacchetti risolutivi disponibili) il 2020-08-02 21:00:50 UTC.

Per quanti poi avessero dovuto fronteggiare la sorpresa riportiamo uno dei workaround suggeriti nel bug report, che pare consentire l’avvio del sistema (ma senza risolvere il problema in maniera definitiva):

1. drop to boot menu, then to uefi shell (hold F11 during boot on my system)

2. navigate to the efi folder  (uefi shell is just like dos, for me the commands where:)

---
FS0:
cd EFI 
cd CENTOS
--- 

3. directly load grubx86.efi

---
grubx64.efi
---

Quindi la soluzione passa dall’avvio mediante la UEFI shell, se questa è disponibile nel vostro sistema.

Insomma, per quanto esistano già i pacchetti risolutivi e workaround documentati, pare decisamente di essere di fronte al proverbio della gatta frettolosa che fece i gattini ciechi. Di fronte alla sistematicità del problema vien da chiedersi: possibile che prima di pubblicare la patch *nessuno* abbia provato un reboot?

Nessuno è perfetto.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , , , ,