Servery Dell PowerEdge: Další informace týkající se odhalení chyby zabezpečení (GRUB) z března 2021
Shrnutí: Chyby zabezpečení v zavaděči GRUB (Grand Unified Bootloader) mohou umožnit obejití zabezpečeného spouštění.
Tento článek se vztahuje na
Tento článek se nevztahuje na
Tento článek není vázán na žádný konkrétní produkt.
V tomto článku nejsou uvedeny všechny verze produktu.
Článek typu „zabezpečení“
Security KB
Identifikátor CVE
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Shrnutí problému
Dotčené produkty:
Servery Dell PowerEdge a využívané platformy
Podrobnosti
Odkaz:
Doporučení pro poskytovatele operačního systému naleznete v následujícím oznámení společnosti Dell o zabezpečení. Viz článek znalostní databáze 183699: DSN-2021-002 Odpověď společnosti Dell na odhalení chyby zabezpečení GRUB2 z 2. března 2021
Doporučení
Často kladené dotazy:
Otázka: Kterých platforem se to týká?
Odpověď: Problém se týká serverů Dell PowerEdge a využívaných platforem s povoleným zabezpečeným spouštěním UEFI. Společnost Dell doporučuje, aby si zákazníci prostudovali doporučení od svého poskytovatele operačního systému, kde najdou další informace, včetně vhodné identifikace a dalších opatření ke zmírnění dopadů.
Zákazník by měl dodržovat doporučené bezpečnostní postupy a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazník může také provést následující opatření, aby se dále chránil před fyzickými útoky.
Odpověď: Ano. Jsou dotčeny operační systémy Windows. Aktér se zlými úmysly, který má fyzický přístup k platformě nebo oprávnění správce operačního systému, může načíst zranitelný binární soubor GRUB UEFI a při spuštění malware. Viz: ADV200011 – Průvodce aktualizací zabezpečení – Microsoft – Pokyny společnosti Microsoft k řešení obejití funkce zabezpečení v nabídce GRUB
Otázka: Používám operační systém VMWare ESXi. Týká se mě to?
Odpověď. Viz: Reakce systému VMware na chybu
zabezpečení GRUB2Otázka: Co je třeba udělat, abych tuto chybu zabezpečení vyřešil?
Odpověď: Oprava GRUB – V rámci doporučení dodavatelů operačních systémů Linux se očekává, že zavedou aktualizované binární soubory GRUB nebo v některých případech také aktualizace jádra. Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.
Otázka: Používám Linux. Jak zjistím, zda mám v systému povoleno zabezpečené spouštění?
Odpověď: Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:
Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:
Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:
Bezpečné spouštění je povoleno:
Otázka: Nainstaloval jsem opravy podle distribučních doporučení pro Linux, ale systém se již nespouští.
Odpověď: Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:
Varování: Jakmile je vaše databáze dbx resetována na výchozí tovární nastavení, váš systém již není záplatován a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení napraveným v pozdějších aktualizacích.
Otázka: Nakonfiguroval(a) jsem server Dell tak, aby nepoužíval veřejný certifikát UEFI CA v databázi ověřených podpisů bezpečného spouštění (db). Je server Dell stále náchylný k útokům GRUB2?
Odpověď: Ne, jakmile to uděláte, implementujete funkci přizpůsobení bezpečného spouštění UEFI a váš systém již není náchylný k aktuálně známým chybám zabezpečení (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 a CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Otázka: Jak zobrazím, co je v databázi ověřených podpisů (db) bezpečného spouštění mého serveru?
Odpověď: Přečtěte si tento dokument zde. To lze provést prostřednictvím nástrojů RACADM, WS-MAN, WINRM, Redfish a BIOS F2 Setup, v závislosti na tom, jak jste nakonfigurovali řízení přístupu.
Další reference:
Další informace o chybách zabezpečení GRUB2 naleznete v článku Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"
Otázka: Kterých platforem se to týká?
Odpověď: Problém se týká serverů Dell PowerEdge a využívaných platforem s povoleným zabezpečeným spouštěním UEFI. Společnost Dell doporučuje, aby si zákazníci prostudovali doporučení od svého poskytovatele operačního systému, kde najdou další informace, včetně vhodné identifikace a dalších opatření ke zmírnění dopadů.
Zákazník by měl dodržovat doporučené bezpečnostní postupy a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazník může také provést následující opatření, aby se dále chránil před fyzickými útoky.
- Nastavte heslo správce systému BIOS, aby nedošlo ke změně konfigurace konfigurace nastavení systému BIOS, například spouštěcího zařízení a režimu zabezpečeného spouštění.
- Nakonfigurujte nastavení spouštění tak, aby bylo možné spouštět pouze z interního spouštěcího zařízení.
Odpověď: Ano. Jsou dotčeny operační systémy Windows. Aktér se zlými úmysly, který má fyzický přístup k platformě nebo oprávnění správce operačního systému, může načíst zranitelný binární soubor GRUB UEFI a při spuštění malware. Viz: ADV200011 – Průvodce aktualizací zabezpečení – Microsoft – Pokyny společnosti Microsoft k řešení obejití funkce zabezpečení v nabídce GRUB
Otázka: Používám operační systém VMWare ESXi. Týká se mě to?
Odpověď. Viz: Reakce systému VMware na chybu
zabezpečení GRUB2Otázka: Co je třeba udělat, abych tuto chybu zabezpečení vyřešil?
Odpověď: Oprava GRUB – V rámci doporučení dodavatelů operačních systémů Linux se očekává, že zavedou aktualizované binární soubory GRUB nebo v některých případech také aktualizace jádra. Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.
Otázka: Používám Linux. Jak zjistím, zda mám v systému povoleno zabezpečené spouštění?
Odpověď: Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:
Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
Proměnné EFI nejsou na tomto systému podporovány
Proměnné EFI nejsou na tomto systému podporovány
Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
SecureBoot zakázáno
SecureBoot zakázáno
Bezpečné spouštění je povoleno:
# mokutil --sb-state
Aktivováno funkce SecureBoot
Aktivováno funkce SecureBoot
Otázka: Nainstaloval jsem opravy podle distribučních doporučení pro Linux, ale systém se již nespouští.
Odpověď: Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:
- Spusťte záchranné DVD a pokuste se přeinstalovat předchozí verzi shim, grub2 a jádra.
- Obnovte databázi dbx systému BIOS na výchozí tovární hodnotu a pomocí následujícího postupu odeberte všechny aktualizace dbx (od dodavatele operačního systému nebo jiným způsobem):
1. Přejděte do nastavení systému BIOS (F2)
2. Vyberte možnost "System Security"
3. Nastavte "Secure Boot Policy" na "Custom"
4. Vyberte možnost "Secure Boot Custom Policy Settings"
5. Vyberte "Forbidden Signature Database (dbx)"
6. Vyberte možnost "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Nastavte "Secure Boot Policy" na "Standardní"
8. Uložit a ukončit
2. Vyberte možnost "System Security"
3. Nastavte "Secure Boot Policy" na "Custom"
4. Vyberte možnost "Secure Boot Custom Policy Settings"
5. Vyberte "Forbidden Signature Database (dbx)"
6. Vyberte možnost "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Nastavte "Secure Boot Policy" na "Standardní"
8. Uložit a ukončit
Varování: Jakmile je vaše databáze dbx resetována na výchozí tovární nastavení, váš systém již není záplatován a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení napraveným v pozdějších aktualizacích.
Otázka: Nakonfiguroval(a) jsem server Dell tak, aby nepoužíval veřejný certifikát UEFI CA v databázi ověřených podpisů bezpečného spouštění (db). Je server Dell stále náchylný k útokům GRUB2?
Odpověď: Ne, jakmile to uděláte, implementujete funkci přizpůsobení bezpečného spouštění UEFI a váš systém již není náchylný k aktuálně známým chybám zabezpečení (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 a CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Otázka: Jak zobrazím, co je v databázi ověřených podpisů (db) bezpečného spouštění mého serveru?
Odpověď: Přečtěte si tento dokument zde. To lze provést prostřednictvím nástrojů RACADM, WS-MAN, WINRM, Redfish a BIOS F2 Setup, v závislosti na tom, jak jste nakonfigurovali řízení přístupu.
Další reference:
Další informace o chybách zabezpečení GRUB2 naleznete v článku Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"
Právní upozornění
Dotčené produkty
PowerEdge, Operating SystemsProdukty
Servers, Product Security InformationVlastnosti článku
Číslo článku: 000184338
Typ článku: Security KB
Poslední úprava: 30 bře 2021
Verze: 2
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.