On Thu, 2020-07-30 at 12:22 +0500, Lev Lamberov wrote: > --- english/security/2020-GRUB-UEFI-SecureBoot/index.wml 2020- > 07-30 12:15:24.222781416 +0500 > +++ russian/security/2020-GRUB-UEFI-SecureBoot/index.wml 2020- > 07-30 12:16:07.209460839 +0500 > @@ -1,23 +1,24 @@ > -#use wml::debian::template title="GRUB2 UEFI SecureBoot > vulnerability - 'BootHole'" > +#use wml::debian::template title="Уязвимость GRUB2 UEFI SecureBoot > — 'BootHole'" > +#use wml::debian::translation-check > translation="a6a9e43990c1df5feef2155cce33d88befbe8993" > maintainer="Lev Lamberov" > > <p> > -Developers in Debian and elsewhere in the Linux community have > -recently become aware of a severe problem in the GRUB2 bootloader > that > -allows a bad actor to completely circumvent UEFI Secure Boot. The > full > -details of the problem are described > -in <a href="$(HOME)/security/2020/dsa-4735">Debian Security Advisory > -4735</a>. The aim of this document is to explain the consequences of > -this security vulnerability, and what steps have been taken to > address > -it. > +Разработчики Debian и других дистрибутивов сообщества Linux недавно > +узнали о серьёзной проблеме в загрузчике GRUB2, позволяющей > +злоумышленнику полностью обойти UEFI Secure Boot. Подробности > +касательно этой проблемы описаны в > +in <a href="$(HOME)/security/2020/dsa-4735">рекомендации по > безопасности Debian > +4735</a>. Цель настоящего документа состоит в объяснении последствий > +данной уязвимости, а также того, какие шаги следует предпринять для > её > +исправления. > </p> > > <ul> > - <li><b><a href="#what_is_SB">Background: What is UEFI Secure > Boot?</a></b></li> > - <li><b><a href="#grub_bugs">Multiple GRUB2 bugs found</a></b></li> > - <li><b><a href="#linux_bugs">Linux bugs found too</a></b></li> > - <li><b><a href="#revocations">Key revocations needed to fix the > Secure Boot chain</a></b></li> > - <li><b><a href="#revocation_problem">What are the effects of key > revocation?</a></b></li> > - <li><b><a href="#package_updates">Updated packages</a></b></li> > + <li><b><a href="#what_is_SB">Общая информация: что такое UEFI > Secure Boot?</a></b></li> > + <li><b><a href="#grub_bugs">Обнаружение многочисленных ошибок > GRUB2</a></b></li> > + <li><b><a href="#linux_bugs">Обнаружение ошибок Linux</a></b></li> > + <li><b><a href="#revocations">Необходимости отзыва ключей для > исправления цепочки Secure Boot</a></b></li> может - "Необходимость в отзыве ключей..."
> + <li><b><a href="#revocation_problem">Каковы последствия отзыва > ключей?</a></b></li> > + <li><b><a href="#package_updates">Обновлённые пакеты</a></b></li> > <ul> > <li><b><a href="#grub_updates">1. GRUB2</a></b></li> > <li><b><a href="#linux_updates">2. Linux</a></b></li> > @@ -25,274 +26,272 @@ > <li><b><a href="#fwupdate_updates">4. Fwupdate</a></b></li> > <li><b><a href="#fwupd_updates">5. Fwupd</a></b></li> > </ul> > - <li><b><a href="#buster_point_release">Debian 10.5 (<q>buster</q>) > - point release, updated installation and live > - media</a></b></li> > - <li><b><a href="#more_info">More information</a></b></li> > + <li><b><a href="#buster_point_release">Редакция Debian 10.5 > (<q>buster</q>), > + обновлённые установочные носители и <q>живые</q> > + образы</a></b></li> > + <li><b><a href="#more_info">Дополнительная информация</a></b></li> > </ul> > > -<h1><a name="what_is_SB">Background: What is UEFI Secure > Boot?</a></h1> > +<h1><a name="what_is_SB">Общая информация: что такое UEFI Secure > Boot?</a></h1> > > <p> > -UEFI Secure Boot (SB) is a verification mechanism for ensuring that > -code launched by a computer's UEFI firmware is trusted. It is > designed > -to protect a system against malicious code being loaded and executed > -early in the boot process, before the operating system has been > -loaded. > +UEFI Secure Boot (SB) представляет собой механизм проверки, > гарантирующий, что > +код, запущенный UEFI-микропрограммой компьютера, является > доверенным. Может - UEFI Secure Boot (SB) представляет собой механизм проверки кода микропрограммы загрузки компьютера, гарантирующий что загружаются доверенные программы. Перед "что" вроде не везде ставятся запятые. А по общей фразе - мне кажется что так понятнее рядовому обывателю. :-)) > Он разработан > +для защиты системы от вредоносного кода, загружаемого и исполняемого > +достаточно рано в процессе старта системы и до загрузки операционной > +системы. > </p> > может - "от вредоносного кода, который, в силу специфики выполнения своих функций, загружается и исполняется на самой ранней стадии загрузки системы, ещё до того, как могут активизироваться специальные программы." Да, опять, чуть отклонение от прямого перевода... :-)) > <p> > -SB works using cryptographic checksums and signatures. Each > -program that is loaded by the firmware includes a signature and a > -checksum, and before allowing execution the firmware will verify > that > -the program is trusted by validating the checksum and the > -signature. When SB is enabled on a system, any attempt to execute an > -untrusted program will not be allowed. This stops unexpected / > -unauthorised code from running in the UEFI environment. > +SB работает с использованием криптографических контрольных сумм и > подписей. Каждая > +программа, загружаемая микропрограммой, содержит подпись и > контрольную сумму, Дважды звучит - "Каждая программа, загружаемая микропрограммой" Может - Каждый блок кода, загружаемый микропрограммой, ... или Тот или иной блок кода, загружаемый микропрограммой, ... ----- А далее поставить точку и по тексту- Перед тем ... > +перед тем, как разрешить исполнение, микропрограмма выполняет > проверку того, что > +запускаемая программа является доверенной. Это осуществляется путём > проверки контрольной > +суммы и подписи.. Если SB включён в системе, то любая попытка > выполнить > +недоверенную программу не будет разрешена. Двойное "не- ... не" в предложении - сложно к восприятию - Может - Если SB включён в системе — то будет действовать запрет на выполнение любой недоверенной программы. > Это позволяет предотвратить > +запуск непредусмотренного / неавторизованного кода в UEFI-окружении. > </p> > > <p> > -Most x86 hardware comes from the factory pre-loaded with Microsoft > -keys. This means the firmware on these systems will trust binaries > -that are signed by Microsoft. Most modern systems will ship with SB > -enabled - they will not run any unsigned code by default, but it is > -possible to change the firmware configuration to either disable SB > or > -to enrol extra signing keys. > +Большинство оборудования с архитектурой x86 поставляется с завода с > предустановленными > +ключами Microsoft. Это означает, что микропрограмма в такой системе > доверяет двоичным > +файлам, подписанным Microsoft. Большинство современных систем > поставляются с включённым > +механизмом SB, по умолчанию они не запускают какой-либо > неподписанный код. Однако > +можно изменить настройки микропрограммы и либо отключить SB, либо > +зарегистрировать дополнительные ключи. > </p> > > <p> > -Debian, like many other Linux-based operating systems, uses a > program > -called shim to extend that trust from the firmware to the other > -programs that we need to be secured during early boot: the GRUB2 > -bootloader, the Linux kernel and firmware update tools (fwupd and > +Debian, как и многие другие операционные системы на основе Linux, > использует программу, > +называемую shim, для расширения доверия от микропрограммы до других > программам, > +которые нам требуется обезопасить в ходе ранней загрузки, это > загрузчик GRUB2, > +ядро Linux и инструменты обновления микропрограмм (fwupd и > fwupdate). > </p> > Что-то здесь не так - :-)) вот этот кусок надо как-то синхронизировать - множ. или единств. число - "для расширения доверия от микропрограммы до других программам" А вот здесь "в ходе ранней загрузки, это" - может поставить тире? "в ходе ранней загрузки — это" > -<h1><a name="grub_bugs">Multiple GRUB2 bugs found</a></h1> > +<h1><a name="grub_bugs">Обнаружение многочисленных ошибок > GRUB2</a></h1> > > <p> > -Unfortunately, a serious bug has been found in the GRUB2 bootloader > -code which reads and parses its configuration (grub.cfg). This bug > -breaks the chain of trust; by exploiting this bug, it is possible to > -break out of the secured environment and load non-signed programs > -during early boot. This vulnerability was discovered by researchers > at > -Eclypsium and given the name > -<b><a href=" > https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">BootHole</a></b> > ;. > +К сожалению, в коде загрузчика GRUB2 для чтения и грамматического > разбора > +файла настроек (grub.cfg) была обнаружена серьёзная ошибка, которая > +ломает цепочку доверия. Используя эту ошибку можно выйти из > защищённого > +окружения и загрузить неподписанные программы в ходе ранней > загрузки. > +Эта уязвимость была обнаружены исследователями Eclypsium и получила > +название <b><a href=" > https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">BootHole</a></b> > ;. > </p> > > <p> > -Instead of just fixing that one bug, developers have been prompted > to > -do an in-depth audit of GRUB2's source code. It would have been > -irresponsible to fix one major flaw without also looking for others! > A > -team of engineers have worked together for several weeks to identify > -and repair a range of further issues. We have found a few places > where > -internal memory allocations could overflow given unexpected inputs, > -several more places where integer overflow in math calculations > could > -cause trouble, and a few places where memory might be used after > -freeing it. Fixes for all of these have been shared and tested > across > -the community. > +Вместо исправления одной этой ошибки разработчики решили провести > +тщательный аудит исходного кода GRUB2. Было бы безответственно > +исправить одну серьёзную уязвимость без поиска других ошибок! > +Команда инженеров работала на протяжении нескольких недель над > определением может - Команда инженеров на протяжении нескольких недель изучала и исправляла целый ряд проблем в исходном коде программы. > +и исправлением целого ряда проблем. Мы обнаружили несколько мест, > где > +выделенные буферы внутренней памяти могут быть переполнены при > получении неожиданных > +входных данных, несколько место, где переполнение целых чисел в ходе входных данных, несколько мест, где переполнение о-лишнее > математических > +вычислений может приводить к проблемам, а также несколько мест, где > память может > +использоваться после её освобождения. Исправления всех этих ошибок > были > +распространены между участниками сообщества и протестированы. > </p> > > <p> > -Again, see <a href="$(HOME)/security/2020/dsa-4735">Debian Security > -Advisory 4735</a> for a full list of the issues found. > +Полный список проблем можно найти в <a > href="$(HOME)/security/2020/dsa-4735">рекомендации > +по безопасности Debian 4735</a>. > </p> > > > -<h1><a name="linux_bugs">Linux bugs found too</a></h1> > +<h1><a name="linux_bugs">Обнаружение ошибок Linux</a></h1> > > <p> > -While discussing the GRUB2 flaws, developers also spoke about cases > -where Linux might also allow Secure Boot bypass. Two bugs were > -identified there, both allowing root to replace ACPI tables on a > -locked-down system when this should not be permitted. Fixes have > -already been released for those issues. > +В ходе обсуждения уязвимостей в GRUB2, разработчики говорили и о > случаях, > +когда ядро Linux может может позволить обойти Secure Boot. Были > обнаружены дважды "может может" > +две ошибки, обе позволяют суперпользователю заменить таблицы ACPI в > +заблокированной системе, когда это не должно быть разрешено. > Исправления > +этих проблем уже выпущены. > </p> > > -<h1><a name="revocations">Key revocations needed to fix the Secure > Boot chain</a></h1> > +<h1><a name="revocations">Необходимости отзыва ключей для > исправления цепочки Secure Boot</a></h1> > Необходимость в отзыве ключей? > <p> > -Debian and other operating system providers will obviously be <a > -href="#package_updates">releasing fixed versions</a> of GRUB2 and > -Linux. However, that cannot be a complete fix for the problems seen > -here. Malicious actors would still be able to use older vulnerable > -versions of each to be able to work around Secure Boot. > +Очевидно, Debian и другие поставщики операционных систем <a > +href="#package_updates">выпустят исправленные версии</a> GRUB2 и > +Linux. Тем не менее это не завершает исправление проблем. Может - на этом пока ещё не завершается исправление проблем? > +Злоумышленники всё ещё могут быть способны использовать предыдущие > уязвимые > +версии загрузчика и ядра, чтобы обойти Secure Boot. > </p> > > <p> > -To stop that, the next step will be for Microsoft to blacklist those > -insecure binaries to stop them being run under SB. This is achieved > -using the <b>DBX</b> list, a feature of the UEFI Secure Boot > -design. All of the Linux distributions shipping with Microsoft- > signed > -copies of shim have been asked to provide details of the binaries or > -keys involved to facilitate this process. The <a > -href="https://uefi.org/revocationlistfile">UEFI revocation list > -file</a> will be updated to include that information. At <b>some</b> > -future point, systems will start to use that updated list and will > -refuse to run the vulnerable binaries under Secure Boot. > +Для предотвращения этого следующим шагом будет внесение сотрудниками > Microsoft небезопасных > +двоичных файлов в список блокировки, чтобы они не могли быть > запущены при включённом SB. > +Это достигается с помощью списка <b>DBX</b>, который является частью > UEFI Secure Boot. > +Все дистрибутивы Linux, поставляющие подписанные Microsoft копии > shim, > +должны предоставить подробную информацию о двоичных файлах или > используемых ключах, > +чтобы указанные действия были выполнены. Будет обновлён <a > +href="https://uefi.org/revocationlistfile">UEFI-файл со списком > отозванных ключей</a>, > +обновление будет содержат предоставленную информацию. обновление будет содержатЬ > В <b>некоторый</b> > +момент в будущем системы начнут использовать этот обновлённый список > и перестанут > +запускать уязвимые двоичные файлы при использовании Secure Boot. > </p> > "В некоторый момент в будущем системы" -- "в ... в" Может - Чуть позднее, в некоторый момент времени, системы начнут использовать этот обновлённый список ... > > <p> > -The <i>exact</i> timeline for that change being deployed is not yet > -clear. BIOS/UEFI vendors will include the new revocation list in new > -firmware builds for new hardware at some point. Microsoft <b>may</b> > -also issue updates to existing systems via Windows Update. Some > Linux > -distributions may issue updates via their own security updates > -process. Debian does not <b>yet</b> do this, but we are looking into > -it for the future. > +<i>Точный</i> срок развёртывания этого изменения пока не ясен. > +В какой-то момент поставщики BIOS/UEFI добавят новый список > отозванных ключей в новые сборки > +микропрограмм для нового оборудования. Microsoft <b>может</b> > +выпустить обновления для существующих систем через Windows Update. > Некоторые > +дистрибутивы Linux так же могут выпустить обновления через свои > собственные также могут > +системы обновления безопасности. Debian <b>пока</b> этого не сделал, > но мы > +собираемся сделать это в будущем. > </p> > Может - но мы собираемся сделать это в ближайшее время - такие "клише" сами выскакивают в голове иногда при прочтении того или иного отрывка текста :-)) > -<h1><a name="revocation_problem">What are the effects of key > revocation?</a></h1> > +<h1><a name="revocation_problem">Каковы последствия отзыва > ключей?</a></h1> > > <p> > -Most vendors are wary about automatically applying updates which > -revoke keys used for Secure Boot. Existing SB-enabled software > -installations may suddenly refuse to boot altogether, unless the > user > -is careful to also install all the needed software updates as > -well. Dual-boot Windows/Linux systems may suddenly stop booting > -Linux. Old installation and live media will of course also fail to > -boot, potentially making it harder to recover systems. > +Большинство поставщиков с недоверием относятся к автоматическому > применению > +обновлений, которые отзывают ключи, используемые для Secure Boot. > Существующие > +наборы ПО могут неожиданно перестать загружаться при включённом SB, > если > +пользователь также не установил требуемые обновления ПО. Двойная > +загрузка систем Windows/Linux тоже может неожиданное прекратить > загрузку > +Linux. тоже может неожиданно "е" - лишнее > Конечно же, старые установочные образы и <q>живые</q> тоже перестанут > +загружаться, что потенциально усложнит восстановление систем. > </p> > > <p> > -There are two obvious ways to fix a non-booting system like this: > +Имеются два очевидных способа исправления незагружающейся системы: > </p> > > <ul> > - <li>Reboot into <q>rescue</q> mode > - using <a href="#buster_point_release">newer installation > media</a>, and > - apply the needed updates that way; or</li> > - <li>Temporarily disable Secure Boot to regain access to the > system, > - apply updates then re-enable it.</li> > + <li>Перезагрузиться в режиме <q>восстановления</q>, > + используя <a href="#buster_point_release">более новые > установочные носители</a>, > + и применить необходимые обновления; или</li> > + <li>Временно отключить Secure Boot для получения доступа к > системе, > + применить обновления, а затем заново включить SB.</li> > </ul> > > <p> > -These may both sound like simple options, but each could be very > -time-consuming for users with multiple systems. Also be aware that > -enabling or disabling Secure Boot needs direct machine access, by > -design. It is normally <b>not</b> possible to change that > -configuration outside of the computer's firmware setup. Remote > server > -machines may need special care here for exactly this reason. > +Оба пути могут казаться простыми, но каждый из них может отнять у > пользователей > +нескольких систем время. Может - Оба эти пути могут показаться вначале простыми, однако каждый из них потребует определённого количества времени пользователя, особенно если у него имеются в наличии несколько систем. > Кроме того, помните, что для включения или отключения > +Secure Boot требуется непосредственный доступ к машине. Обычно > +<b>нельзя</b> изменить эту настройку извне системы настройки > микропрграммы микропрОграммы > +компьютера. Удалённые серверные машины могут потребовать > специального > +обращения по этой самой причине. > </p> > > <p> > -For these reasons, it is strongly recommended that <b>all</b> Debian > -users be careful to install all > -the <a href="#package_updates">recommended updates</a> for their > -systems as soon as possible, to reduce the chances of problems in > -future. > +По этим причинам настоятельно рекомендуется, чтобы <b>все</b> > пользователи > +Debian установили все <a href="#package_updates">рекомендованные > обновления</a> для > +своих систем как можно скорее. Это позволит снизить вероятность > возникновения > +проблем в будущем. > </p> > > -<h1><a name="package_updates">Updated packages</a></h1> > +<h1><a name="package_updates">Обновлённые пакеты</a></h1> > > <p> > -<b>Note:</b> Systems running Debian 9 (<q>stretch</q>) and older > -will <b>not</b> necessarily receive updates here, as Debian 10 > -(<q>buster</q>) was the first Debian release to include support for > UEFI > +<b>ВНИМАНИЕ:</b> системы, использующие Debian 9 (<q>stretch</q>) и > более ранние > +выпуски <b>необязательно</b> получат соответствующие обновления, > поскольку Debian 10 > +(<q>buster</q>) является первым выпуском Debian, включающим > поддержку UEFI > Secure Boot. > </p> > > -<p>The signed versions of all packages here have been updated, even > if > -no other changes were needed. Debian has had to generate a new > signing > -key/certificate for its own Secure Boot packages. The old > certificate > -was labelled <q>Debian Secure Boot Signer</q> (fingerprint > +<p>Были обновлены подписанные версии всех пакетов, даже если никакие > +другие изменения не требовались. Debian пришлось создать новый > ключ/сертификат > +для подписывания собственных пакетов, поддерживающих Secure Boot. > Старый сертификат > +был помечен как <q>Debian Secure Boot Signer</q> (отпечаток ключа > <code>f156d24f5d4e775da0e6a9111f074cfce701939d688c64dba093f97753434f > 2c</code>); > -the new certificate is <q>Debian Secure Boot Signer 2020</q> > +новый сертификат помечен как <q>Debian Secure Boot Signer 2020</q> > (<code>3a91a54f9f46a720fe5bbd2390538ba557da0c2ed5286f5351fe04fff254e > c31</code>). </p> > > <p> > -There are five source packages in Debian that will be updated due to > -the UEFI Secure Boot changes described here: > +В Debian имеются пять пакетов с исходным кодом, которые будут > обновлены > +в связи с изменениями UEFI Secure Boot: > </p> > > <h2><a name="grub_updates">1. GRUB2</a></h2> > > <p> > -Updated versions of Debian's GRUB2 packages are available now via > the > -debian-security archive for the stable Debian 10 release > -(<q>buster</q>). Fixed versions will be in the normal Debian archive > -for development versions of Debian (unstable and testing) very soon. > +Обновлённые версии Debian-пакетов GRUB2 доступны уже сейчас в архиве > +debian-security для стабильного выпуска Debian 10 > +(<q>buster</q>). Исправленные версии очень скоро появятся в обычном > архиве Debian > +для разрабатываемых версий Debian (нестабильного и тестируемого). > </p> > > <h2><a name="linux_updates">2. Linux</a></h2> > > <p> > -Updated versions of Debian's linux packages are available now via > -buster-proposed-updates for the stable Debian 10 (<q>buster</q>) > -release and will be included with the upcoming 10.5 point > -release. New packages are also in the Debian archive for development > -versions of Debian (unstable and testing). We hope to have fixed > -packages uploaded for buster-backports soon also. > +Обновлённые версии Debian-пакетов linux доступны уже сейчас через > +buster-proposed-updates для стабильного выпуска Debian 10 > (<q>buster</q>) > +и будут включены в готовящуюся редакцию 10.5. Новые пакеты > +также находятся в архиве Debian для разрабатываемых версий > +Debian (нестабильного и тестируемого). Мы надеемся, что исправленные > пакеты > +будут вскоре загружены в buster-backports. > </p> > > <h2><a name="shim_updates">3. Shim</a></h2> > > <p> > -Due to the way that Debian's Secure Boot key management works, > Debian > -does <b>not</b> need to revoke its existing Microsoft-signed shim > -packages. However, the signed versions of the shim-helper packages > -needed rebuilding to use the new signing key. > +В связи с тем, как устроено управления ключами Secure Boot в Debian, > Debian > +<b>не</b> требуется отзывать существующие и подписанные Microsoft > +пакеты shim. Тем не менее подписанные версии пакетов shim-helper > +необходимо собрать заново с использованием нового ключа. > </p> > Вот это - "В связи с тем, как устроено управления ключами Secure Boot в Debian..." может так - "Учитывая механизм управления ключами Secure Boot в Debian..." > <p> > -Updated versions of Debian's shim packages are available now via > -buster-proposed-updates for the stable Debian 10 (<q>buster</q>) > -release and will be included with the upcoming 10.5 point > -release. New packages are also in the Debian archive for development > -versions of Debian (unstable and testing). > +Обновлённые версии Debian-пакетов shim доступны уже сейчас через > +buster-proposed-updates для стабильного выпуска Debian 10 > (<q>buster</q>) > +и будут включены в готовящуюся редакцию 10.5. Новые пакеты > +также находятся в архиве Debian для разрабатываемых версий > +Debian (нестабильного и тестируемого). > </p> > > <h2><a name="fwupdate_updates">4. Fwupdate</a></h2> > > <p> > -Updated versions of Debian's fwupdate packages are available now via > -buster-proposed-updates for the stable Debian 10 (<q>buster</q>) > -release and will be included with the upcoming 10.5 point > -release. fwupdate had already been removed from unstable and testing > -a while ago in favour of fwupd. > +Обновлённые версии Debian-пакетов fwupdate доступны уже сейчас через > +buster-proposed-updates для стабильного выпуска Debian 10 > (<q>buster</q>) > +и будут включены в готовящуюся редакцию 10.5. Пакет fwupdate уже был > +удалён из нестабильного и тестируемого выпусков в связи с его > заменой > +на пакет fwupd. > </p> > > <h2><a name="fwupd_updates">5. Fwupd</a></h2> > > <p> > -Updated versions of Debian's fwupd packages are available now via > -buster-proposed-updates for the stable Debian 10 (<q>buster</q>) > -release and will be included with the upcoming 10.5 point > -release. New packages are also in the Debian archive for development > -versions of Debian (unstable and testing). > +Обновлённые версии Debian-пакетов fwupd доступны уже сейчас через > +buster-proposed-updates для стабильного выпуска Debian 10 > (<q>buster</q>) > +и будут включены в готовящуюся редакцию 10.5. Новые пакеты > +также находятся в архиве Debian для разрабатываемых версий > +Debian (нестабильного и тестируемого). > </p> > > -<h1><a name="buster_point_release">Debian 10.5 (<q>buster</q>) point > -release, updated installation and live media</a></h1> > +<h1><a name="buster_point_release">Редакция Debian 10.5 > (<q>buster</q>), > +обновлённые установочные носители и <q>живые</q> образы</a></h1> > > <p> > -All of the fixes described here are targeted for inclusion in the > -Debian 10.5 (<q>buster</q>) point release, due for release on 1st > -August 2020. 10.5 would therefore be a good choice for users looking > -for Debian installation and live media. Earlier images may not work > -with Secure Boot in future as revocations roll out. > +Все описанные здесь обновления планируется включить в редакцию > +Debian 10.5 (<q>buster</q>), который будет выпущен 1 августа 2020 > года. > +Таким образом, пользователям, которым нужны установочные и > <q>живые</q> > +образы Debian следует выбирать 10.5. В будущем более ранние образы > могут > +не работать с Secure Boot, так как будет выполнен отзыв ключей. > </p> > > -<h1><a name="more_info">More information</a></h1> > +<h1><a name="more_info">Дополнительная информация</a></h1> > > <p> > -Much more information about Debian's UEFI Secure Boot setup is in > the > -Debian wiki - > -see <a href=" > https://wiki.debian.org/SecureBoot">https://wiki.debian.org/SecureBoot</a>.</p > > > +Дополнительную информацию о настройке UEFI Secure Boot в Debian > +можно найти в вики Debian по адресу <a href=" > https://wiki.debian.org/SecureBoot">\ > +https://wiki.debian.org/SecureBoot</a>.</p> > > <p> > -Other resources on this topic include: > +Другие ресурсы по данной теме: > </p> > > <ul> > - <li><a href=" > https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">Eclypsium > - <q>BootHole</q> article</a> describing the weaknesses > found</li> > - <li><a href=" > https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011">Microsoft > - Guidance for Addressing Security Feature Bypass in > GRUB</a></li> > - <li><a href=" > https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass">Ubuntu > - KnowledgeBase article</a></li> > - <li><a href=" > https://access.redhat.com/security/vulnerabilities/grub2bootloader">Red > - Hat vulnerability article</a></li> > - <li><a href=" > https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/">SUSE > - vulnerability article</a></li> > + <li><a href=" > https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">Статья > Eclypsium > + <q>BootHole</q></a>, описывающая обнаруженные уязвимости</li> > + <li><a href=" > https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011">Руководство > + Microsoft под решению пробем обхода безопасности в > GRUB</a></li> что-то надо исправить здесь... Может - по решению проблем?