Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"
Summary: Skupina odhalených chyb zabezpečení v zavaděči GRUB (Grand Unified Bootloader), známá jako "BootHole", může umožnit obejití bezpečného spouštění.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Dotčené platformy:
Servery Dell EMC PowerEdge s povoleným systémem UEFI Secure Boot
Details
Jak je uvedeno v bezpečnostním oznámení společnosti Dell, reakce společnosti Dell na chyby zabezpečení GRUB2, které mohou umožnit bezpečné obejití spouštění Skupina zveřejněných chyb zabezpečení v zavaděči GRUB (Grand Unified Bootloader), známých jako "BootHole", může umožnit obejití zabezpečeného spouštění.
Funkce Secure Boot je podporována na serverech PowerEdge 13G a novějších, pokud používají operační systém (OS), který tuto funkci také podporuje. Seznam matic podpory operačního systému PowerEdge naleznete zde.
Windows:
Operační systémy Windows jsou dotčeny, protože útočník s fyzickým přístupem k platformě nebo oprávněními správce operačního systému by mohl načíst zranitelný binární soubor GRUB UEFI.
Zákazníci, kteří na svých serverech PowerEdge používají systém Windows, by si měli přečíst pokyny společnosti Microsoft na webu Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:
Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
Proměnné EFI nejsou v tomto systému podporovány
Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
Funkce SecureBoot zakázána
Bezpečné spouštění je povoleno:
# mokutil --sb-state
Povoleno funkci SecureBoot
Recommendations
Distribuce systému Linux podporované servery Dell EMC PowerEdge – Red Hat Enterprise Linux, SuSE Enterprise Linux a Ubuntu – byly vydány aktualizované balíčky obsahující nápravu pro výše uvedené chyby CVE.
Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.
Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:
- Spusťte záchranné DVD a pokuste se přeinstalovat předchozí verzi shim, grub2 a jádra.
- Obnovte databázi dbx systému BIOS na výchozí tovární hodnotu a pomocí následujícího postupu odeberte všechny aktualizace dbx (od dodavatele operačního systému nebo jiným způsobem):
- Přechod do nastavení systému BIOS (F2)
- Vyberte možnost "System Security".
- Nastavte "Secure Boot Policy" na "Custom"
- Vyberte možnost "Secure Boot Custom Policy Settings".
- Vyberte "Forbidden Signature Database (dbx)"
- Vyberte možnost "Restore Default Forbidden Signature Database" –> "Yes" –> "OK".
- Nastavte "Secure Boot Policy" na "Standard"
- Uložit a ukončit
Varování: Jakmile bude databáze dbx resetována do výchozího továrního nastavení, váš systém již nebude opraven a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení opraveným v pozdějších aktualizacích.
Související doporučení pro dodavatele distribuce systému Linux
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.