Серверы Dell EMC PowerEdge. Дополнительная информация об уязвимости GRUB2 — «BootHole»

Дистрибутивы Linux, поддерживаемые серверами Dell EMC PowerEdge, — Red Hat Enterprise Linux, SuSE Enterprise Linux и Ubuntu — выпустили обновленные пакеты, содержащие исправления для вышеупомянутых CVE.

Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков дистрибутивов Linux и обновлять затронутые пакеты в надлежащем порядке до последних версий, предоставленных поставщиком дистрибутива Linux.

Если безопасная загрузка завершается сбоем после установки обновлений поставщика дистрибутива Linux, используйте один из следующих вариантов для восстановления:

• Загрузите аварийный DVD-диск и попытайтесь переустановить предыдущую версию shim, grub2 и ядра.
• Сбросьте базу данных dbx BIOS до заводских настроек по умолчанию и удалите все примененные обновления dbx (от поставщика ОС или другими способами), выполнив следующие действия.
  1. Войдите в настройки BIOS (F2) 
  2. Выберите «System Security». 
  3. Установите для параметра «Secure Boot Policy» значение «Custom». 
  4. Выберите «Secure Boot Custom Policy Settings». 
  5. Выберите «Forbidden Signature Database (dbx)». 
  6. Выберите «Восстановить базу данных запрещенных подписей по умолчанию» -> «Да» -> «ОК» 
  7. Установите для параметра «Secure Boot Policy» значение «Standard» 
  8. Сохранить и выйти 

Предупреждение! После того, как ваша база данных dbx будет сброшена до заводских настроек по умолчанию, ваша система больше не будет исправлена и будет уязвима к этим и любым другим уязвимостям, исправленным в последующих обновлениях.

 

Связанные рекомендации по поставщикам дистрибутивов Linux

• Red Hat https://access.redhat.com/security/vulnerabilities/grub2bootloader
• SUSE https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/
• Канонический https://ubuntu.com/blog/mitigating-boothole-theres-a-hole-in-the-boot-cve-2020-10713-and-related-vulnerabilities