Security KB
N/A
影響を受けるプラットフォーム:
UEFIセキュア ブートが有効になっているDell EMC PowerEdgeサーバー
Dellセキュリティ通知に記載されているように、「BootHole」として知られるGRUB(Grand Unified Bootloader)で公開されている脆弱性のグループは、セキュア ブートをバイパスできる可能性のあるGrub2脆弱性に対するDellの対応により、セキュア ブートのバイパスが可能になります。
セキュア ブート機能は、13G以降のPowerEdgeサーバーでも、この機能をサポートするオペレーティング システム(OS)を使用している場合にサポートされます。PowerEdge OSサポート マトリックスのリストは、こちらで確認できます。
Windowsの場合:
Windowsオペレーティング システムは、プラットフォームへの物理的なアクセス権を持つ攻撃者、またはOS管理者権限を持つ攻撃者が脆弱なGRUB UEFIバイナリーをロードする可能性があるため、影響を受けます。
PowerEdgeサーバーでWindowsを実行しているお客様は、Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011 でMicrosoftのガイダンスを参照してください
Linuxの場合
システムのセキュア ブート ステータスを確認するには、次のOSコマンドを使用します。
UEFI起動が無効になっています。セキュア ブートが無効になっている場合:
# mokutil --sb-state
EFI変数は、このシステムではサポートされていません
UEFI起動が有効になっています。セキュア ブートが無効になっている場合:
# mokutil --sb-state
セキュアブートが無効
セキュア ブートが有効になっている場合:
# mokutil --sb-state
SecureBootが有効
Dell EMC PowerEdgeサーバーでサポートされているLinuxディストリビューション(Red Hat Enterprise Linux、SuSE Enterprise Linux、Ubuntu)は、上記のCVEに対する修復を含むアップデート済みパッケージをリリースしています。
Linux ディストリビューション ベンダーが公開している推奨事項に従って、影響を受けるパッケージを適切な順序で Linux ディストリビューション ベンダーが提供する最新バージョンに更新することをお勧めします。
Linuxディストリビューション ベンダーのアップデートを適用した後にセキュア ブートが失敗した場合は、次のいずれかのオプションを使用してリカバリーします。
Warning: dbx データベースが工場出荷時のデフォルトにリセットされると、システムにパッチは適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、後のアップデートで修復されます。
関連するLinuxディストリビューション ベンダーのアドバイザリ