Dell EMC PowerEdge-servere: Yderligere oplysninger om GRUB2-sårbarheden – "BootHole"
Summary: En gruppe afslørede sårbarheder i GRUB (Grand Unified Bootloader), kendt som "BootHole", kan give mulighed for Secure Boot-omgåelse.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Berørte platforme:
Dell EMC PowerEdge-servere, der har UEFI Secure Boot aktiveret
Details
Som refereret i Dells sikkerhedserklæring kan Dells reaktion på Grub2-sårbarheder, der kan give mulighed for sikker opstartsforbigåelse af en gruppe afslørede sårbarheder i GRUB (Grand Unified Bootloader), kendt som "BootHole", muliggøre omgåelse af sikker opstart.
Secure Boot-funktionen understøttes på 13G og nyere PowerEdge-servere, når der anvendes et operativsystem (OS), som også understøtter denne funktion. Du kan se listen over PowerEdge OS-supportmatricer her.
Windows:
Windows-operativsystemer påvirkes, da en hacker med fysisk adgang til platformen eller OS-administratorrettigheder kan indlæse en sårbar GRUB UEFI-binær.
Kunder, der kører Windows på deres PowerEdge-servere, bør se Microsofts vejledning på Microsoft-https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Brug følgende OS-kommando til at kontrollere systemets Secure Boot-status:
UEFI-opstart er deaktiveret; Sikker start er deaktiveret:
# mokutil --sb-stat
EFI-variabler understøttes ikke på dette system
UEFI-opstart er aktiveret; Sikker start er deaktiveret:
# mokutil --sb-stat
SecureBoot deaktiveret
Sikker start er aktiveret:
# mokutil --sb-stat
SecureBoot aktiveret
Recommendations
Linux-distributioner, der understøttes af Dell EMC PowerEdge-servere – Red Hat Enterprise Linux, SuSE Enterprise Linux og Ubuntu – har udgivet opdaterede pakker, der indeholder afhjælpning for de CVE'er, der er nævnt ovenfor.
Vi opfordrer dig til at følge de offentliggjorte anbefalinger fra Linux-distributionsleverandørerne for at opdatere de berørte pakker i den rigtige rækkefølge til de nyeste versioner leveret af Linux-distributionsleverandøren.
Hvis Secure Boot mislykkes efter anvendelse af opdateringer fra Linux-distributionsleverandøren, skal du bruge en af følgende muligheder for at gendanne:
- Start op på en rednings-dvd, og forsøg at geninstallere den tidligere version af shim, grub2 og kerne.
- Nulstil BIOS dbx-databasen til fabriksstandardværdien, og fjern alle dbx-anvendte opdateringer (enten fra OS-leverandøren eller på anden måde) ved hjælp af følgende procedure:
- Åbning af BIOS-opsætning (F2)
- Vælg "Systemsikkerhed"
- Indstil "Politik for sikker start" til "Brugerdefineret"
- Vælg "Brugerdefinerede politikindstillinger for sikker start"
- Vælg "Forbidden Signature Database (dbx)"
- Vælg "Gendan standard forbudt signaturdatabase" -> "Ja" -> "OK"
- Indstil "Politik for sikker start" til "Standard"
- Gem og afslut
Advarsel: Når din dbx-database er nulstillet til fabriksstandarden, er dit system ikke længere patched, og er sårbart over for disse, og andre sårbarheder, afhjælpes i senere opdateringer.
Relaterede Linux-distributionsleverandørvejledninger
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.