微軟的一次更新,卻讓Linux躺槍了。
大量Linux用戶稱,安裝了微軟的更新後,自己的Linux系統無法啟動了。
受到微軟更新影響的Linux用戶,都是安裝了Windows+Linux雙系統。
突如其來的無法啟動,讓不少用戶焦急萬分,急忙發帖尋找解決方案。
結果,類似的反饋在Reddit和多個Linux社區鋪天蓋地出現。
出了這樣的事後,有網友感慨,微軟不可能針對Linux做事無巨細的測試,雙系統還是通過虛擬機實現更加保險。
還有網友認為這並非是個意外。
畢竟在之前微軟就試過通過安全啟動阻止Windows10用戶啟動其他作業系統。
作為替代方案,微軟還推出了WLS,從而能夠在Windows當中運行Linux子系統,以滿足用戶的雙系統需求。
微軟修漏洞,Linux躺槍
此次事件中受到波及的,是Windows+Linux的雙系統用戶。
安裝更新後,這些用戶在啟動Linux時會發生報錯,提示「出現嚴重錯誤」。
Verifying shim SBAT data failed: Security Policy Violation.
shim SBAT數據校驗失敗:違反安全策略
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation.
出現嚴重錯誤:SBAT自檢失敗:違反安全策略
△圖源:Reddit/paku1234
Debian、Ubuntu等多個發行版本,無論新舊都遭了殃,甚至隨身碟和光碟啟動也出現了類似情況。
而這背後的直接原因,就是微軟新發布的一款補丁。
補丁修復的是兩年前曝出的一個漏洞,代號為CVE-2022-2601,CVSS嚴重程度評分為8.6(最高10)。
該漏洞與GRUB有關,GRUB是啟動許多Linux設備都在用的開源引導加載程序。
利用該漏洞,黑客能夠繞過安全啟動機制,該機制是一套確保作業系統啟動過程中不會加載惡意韌體或軟體的行業標準。
微軟在有關CVE-20220-2601的公告中解釋,針對該漏洞的更新將安裝SBAT(一種用於屏蔽啟動路徑中各種組件的Linux機制)。
這樣一來,Windows設備上的安全啟動被利用該漏洞的GRUB包攻擊的概率就會降低。
同時微軟還信誓旦旦地表示,裝有Linux的設備不會受到這次更新的影響。
△早期GRUB界面
但事與願違,不僅Linux出現了故障,還有其他程序也受到了SBAT的「戕害」。
有網友表示,自己的軟體帶有網絡引導功能,由於也利用了GRUB,在按照更新後也會無法運行。
要想解決,就要把系統中所有設備的安全啟動全都禁用,或者刪掉SBAT文件。
有用戶對微軟的這波操作不解,質疑為什麼微軟要去修復一個本不屬於Windows、自己也「一無所知」的模塊。
微軟回復被現實「打臉」
對於這一波故障,微軟這邊給出的回應是這樣的:
當檢測到Linux啟動選項時,此更新不會被應用。
我們知道,某些輔助啟動方案會給某些客戶帶來問題,包括使用「過時的」Linux加載程序。
我們正在與Linux合作夥伴合作,調查問題原因和解決方案
實際上,基本和CVE-20220-2601發布時的公告內容沒什麼區別:
SBAT值不適用於同時裝有Windows和Linux的雙啟動系統,理論上也不會影響這些系統。
版本較舊的Linux發行版可能無法啟動,如果發生這種情況,請與您的Linux供應商合作獲取更新。
但微軟的說法多少有些自打自臉了——如果不是雙系統,單用Linux自然也不會出現這種故障。
還有人發出靈魂提問——要是只用Windows,誰會裝GRUB啊?
抓馬的事,實際情況也並非像微軟說的那樣影響的都是舊版Linux,出現故障的系統有一些正是新版(如Ubuntu24.04、Debian12.6.0)。
不過也有網友神評論說,微軟其實也沒說謊,因為裝完補丁之後Linux啟動不了,就不算是雙系統了。
另外,有熱心網友提出了應急補救措施——
首先進入BIOS關閉安全啟動,目的是先進入到Linux系統。
之後利用命令行把引發故障的SBAT策略刪除,然後重啟讓設置生效。
最後,再次進入BIOS重新打開安全啟動,問題就暫時解決了。