Nuevo parche para UEFI inutiliza Hibernate y kexec

Un nuevo parche subido por Matthew Garrett deshabilita dos funciones importantes en el Kernel Linux sin proponer ninguna alternativa que las reemplace o brinde características similares, en  el caso que se esté utilizando UEFI Secure Boot.

Según explica Matthew en el texto del commit, tanto la función de kexec y como los procesos de hibernación permitirían saltear las protecciones establecidas por la arquitectura UEFI. En el caso de kexec, sería trivial ya que podría utilizarse la función para cargar y ejecutar un kernel no firmado. En el caso de Hibernate sería menos obvio pero igualmente posible. Podría desactivarse la memoria swap, escribirse una imagen de resumen con un kernel sin firmar y reiniciar lo máquina, con lo que se cargaría un kernel no firmado desde la imagen de resumen.

Sabiendo que estos cambios rompen el espacio de usuario y sabiendo lo que le disgusta a Linus que esto pase, es de esperar que en próximos parches se agreguen características a estas funciones para que se tengan en cuenta los requerimientos propuestos por la arquitectura UEFI y para que las protecciones de seguridad impuestas durante el arranque sean un poquito más difíciles de saltear.

Comentarios