从理论上讲，最近发现的GRUB2和安全启动的BootHole安全问题可以用来攻击Linux系统。实际上，唯一易受攻击的Linux系统是已经被攻击者成功破坏的系统。因此，尽管BootHole获得了所有宣传，但实际上这并不是一个大问题。尽管如此，几乎所有企业Linux发行商都发布了补丁。不幸的是，对于其中包括Red Hat在内的其中几家，该修复程序证明比安全漏洞还差。用户发现他们的新“修复”系统无法启动。现在，这些修复程序的修复程序已经发布。

不幸的是，修复花费了几天而不是数小时的时间。现在，该修补程序已准备就绪，可以部署在Red Hat Enterprise Linux(RHEL)7.8和8.2上。尽管尚未针对RHEL 7.9和8.1扩展更新支持(EUS)确认该解决方案，但它也应适用于它们。

维修包括更新的垫片程序包。甲在这种情况下垫片是一个UEFI(统一可扩展固件接口)安全引导证书。它由Linux发行商签名，通过嵌入到Microsoft签名的shim加载器中，隐式地信任了Linux发行商。之所以使用Microsoft的UEFI安全启动，是因为几乎所有计算机都预装有Microsoft安全启动密钥。

这些更新的填充程序包现已上市。您可以将它们与先前发布的grub2，fwupd和fwupdate软件包一起使用。要执行此修复，您需要在故障排除模式下使用RHEL DVD重新启动。启动后，您进入chroot容器，然后用修复的版本替换有问题的shim软件包。

使用RHEL克隆操作系统CentOS，可以使用类似的方法对其进行修复。请确保完全阅读CentOS BootHole修复错误报告。您将升级到shim-x64-15-15.el8_2.x86_64.rpm(EL8)或分别为shim-x64-15-8.el7_8，而不是按照报告开头所述恢复到旧的启动shim。 x86_64.rpm(EL7)(或更高版本)。

红帽工作人员告诉我，不可启动的系统问题从未遇到过红帽社区Linux发行版Fedora。Fedora程序员目前正在努力在不久的将来为BootHole提供广泛的修补程序。“也就是说，鉴于BootHole的攻击面非常狭窄(已经需要访问权限等)，它被视为一个严重的问题，但并不是过于严重的问题。”

Canonical是Ubuntu Linux的母公司，很少有系统实例无法使用其BootHole补丁启动的情况。如果遇到这种情况，Canonical建议，您确实会降级，而降级来自另一个Ubuntu会话的grub2 / grub2-signed。在本地计算机上，您可以使用可引导的Ubuntu Live DVD或USB记忆棒。在云上，您可以从同一云可用性区域中的单独实例执行此操作。无论哪种方式，您都使用相同的最终步骤。也就是说，将受影响的系统的根卷/设备安装到活动/分离的云实例中，然后将chroot安装到其中，并使用apt降级grub2 / grub2-signed /。

对于Debian Linux，更正后的BootHole修复来自最新的Debian 10“ Buster”发行版：Debian 10.5。

如果您选择的Linux发行版还没有修复，我建议您。等待。在您知道已经完成真正的维修之前，请勿对系统打补丁。通常，我都希望尽快修补安全漏洞。这是一个例外。BootHole确实不是一个严重的问题，但是由于修补程序不足而无法运行您的系统会变得很糟糕。真正的修补程序已经存在，并将在适当的时候发布给您。