克雷西 發自 凹非寺
量子位 | 公眾號 QbitAI
微軟的一次更新,卻讓Linux躺槍了。
大量Linux使用者稱,安裝了微軟的更新後,自己的Linux系統無法啟動了。
受到微軟更新影響的Linux使用者,都是安裝了Windows+Linux雙系統。
突如其來的無法啟動,讓不少使用者焦急萬分,急忙發帖尋找解決方案。
結果,類似的反饋在Reddit和多個Linux社區鋪天蓋地出現。
出了這樣的事後,有網友感慨,微軟不可能針對Linux做事無巨細的測試,雙系統還是透過虛擬機器實作更加保險。
還有網友認為這並非是個意外。
畢竟在之前微軟就試過透過安全啟動阻止Windows 10使用者啟動其他作業系統。
作為替代方案,微軟還推出了WLS,從而能夠在Windows當中執行Linux子系統,以滿足使用者的雙系統需求。
微軟修漏洞,Linux躺槍
此次事件中受到波及的,是Windows+Linux的雙系統使用者。
安裝更新後,這些使用者在啟動Linux時會發生報錯,提示「出現嚴重錯誤」。
Verifying shim SBAT data failed: Security Policy Violation.
shim SBAT數據校驗失敗:違反安全策略
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation.
出現嚴重錯誤:SBAT自檢失敗:違反安全策略
△圖源:Reddit/paku1234
Debian、Ubuntu等多個發行版本,無論新舊都遭了殃,甚至U槽和光碟啟動也出現了類似情況。
而這背後的直接原因,就是微軟新釋出的一款修補程式。
修補程式修復的是兩年前曝出的一個漏洞,代號為CVE-2022-2601,CVSS嚴重程度評分為8.6(最高10)。
該漏洞與GRUB有關,GRUB是啟動許多Linux器材都在用的開源引導載入程式。
利用該漏洞,黑客能夠繞過安全啟動機制,該機制是一套確保作業系統啟動過程中不會載入惡意固件或軟件的行業標準。
微軟在有關CVE-20220-2601的公告中解釋,針對該漏洞的更新將安裝SBAT(一種用於遮蔽啟動路徑中各種元件的Linux機制)。
這樣一來,Windows器材上的安全啟動被利用該漏洞的GRUB包攻擊的概率就會降低。
同時微軟還信誓旦旦地表示,裝有Linux的器材不會受到這次更新的影響。
△早期GRUB界面
但事與願違,不僅Linux出現了故障,還有其他程式也受到了SBAT的「戕害」。
有網友表示,自己的軟件帶有網絡引導功能,由於也利用了GRUB,在按照更新後也會無法執行。
要想解決,就要把系統中所有器材的安全啟動全都禁用,或者刪掉SBAT檔。
有使用者對微軟的這波操作不解,質疑為什麽微軟要去修復一個本不屬於Windows、自己也「一無所知」的模組。
微軟回復被現實「打臉」
對於這一波故障,微軟這邊給出的回應是這樣的:
當檢測到Linux啟動選項時,此更新不會被套用。
我們知道,某些輔助啟動方案會給某些客戶帶來問題,包括使用「過時的」Linux載入程式。
我們正在與Linux合作夥伴合作,調查問題原因和解決方案
實際上,基本和CVE-20220-2601釋出時的公告內容沒什麽區別:
SBAT值不適用於同時裝有Windows和Linux的雙啟動系統,理論上也不會影響這些系統。
版本較舊的Linux發行版可能無法啟動,如果發生這種情況,請與您的Linux供應商合作獲取更新。
但微軟的說法多少有些自打自臉了——如果不是雙系統,單用Linux自然也不會出現這種故障。
還有人發出靈魂提問——要是只用Windows,誰會裝GRUB啊?
抓馬的事,實際情況也並非像微軟說的那樣影響的都是舊版Linux,出現故障的系統有一些正是新版(如Ubuntu 24.04、Debian 12.6.0)。
不過也有網友神評論說,微軟其實也沒說謊,因為裝完修補程式之後Linux啟動不了,就不算是雙系統了(手動狗頭)。
另外,有熱心網友提出了應急補救措施——
首先進入BIOS關閉安全啟動,目的是先進入到Linux系統。
之後利用命令列把引發故障的SBAT策略刪除,然後重新開機讓設定生效。
最後,再次進入BIOS重新開啟安全啟動,問題就暫時解決了。
參考連結:
[1]https://arstechnica.com/security/2024/08/a-patch-microsoft-spent-2-years-preparing-is-making-a-mess-for-some-linux-users/
[2]https://news.ycombinator.com/item?id=41310217
[3]https://www.techtimes.com/articles/307222/20240821/dual-booting-windows-linux-longer-available-microsoft-s-security-update—why.htm
[4]https://discourse.ubuntu.com/t/sbat-revocations-boot-process/34996
