Команда проекта GRUB2 выпустила очередной набор исправлений, закрывающий сразу шесть слабых мест, каждое из которых потенциально позволяло обойти механизм UEFI Secure Boot и выполнить неподписанный код на этапе загрузки Linux. По классификации разработчиков все уязвимости имеют умеренный уровень опасности, однако возможность вмешательства в цепочку доверенной загрузки делает обновление критически важным для серверных и рабочих систем.
Наиболее серьёзной признана ошибка CVE-2025-61661 — выход за границы буфера в функции grub_usb_get_string() при обработке строк в кодировке UTF-8/UTF-16, поступающих от USB-устройств. Остальные пять проблем — CVE-2025-61662, CVE-2025-61663, CVE-2025-61664, CVE-2025-54770 и CVE-2025-54771 — относятся к классу use-after-free. Они возникали из-за некорректного освобождения памяти при выгрузке модулей gettext, normal и net_set_vlan, а также при закрытии файловых структур, что открывало путь к выполнению произвольных инструкций ещё до инициализации ядра.
Исправленные исходники уже доступны в официальном репозитории GRUB2. Дистрибутивы Linux готовят обновления пакетов и публикуют статусы в своих трекерах: патчи для Debian помечены как «accepted», Fedora включает их в свежий пакет grub2-2.12, а Ubuntu готовит SRU для выпусков 22.04 LTS и 24.10. Поскольку UEFI Secure Boot опирается на криптографическую подпись загрузчика, после установки обновления системным администраторам следует пересоздать DBX-список и заново подписать модуль shim, иначе новая версия GRUB2 не будет считаться доверенной.
За последний год это уже второй крупный блок исправлений для GRUB2: в конце 2024-го разработчики закрыли более двадцати аналогичных ошибок, также связанных с обращением к освобождённой памяти. Эксперты считают, что систематическая работа над безопасностью загрузчика позволяет значительно снизить риск атак типа BootHole и сохранить целостность Secure Boot даже на много лет эксплуатируемых серверах.
Пользователям настольных и серверных дистрибутивов рекомендуется установить обновления сразу после появления пакетов, перезагрузить систему и убедиться, что UEFI Secure Boot активен. Это минимизирует вероятность того, что злоумышленник получит контроль над каналом доверенной загрузки Linux.