Dell EMC PowerEdge-Server: Weitere Informationen zur GRUB2-Sicherheitslücke "bootHole"

Summary: Eine Gruppe von offengelegten Sicherheitslücken in GRUB (Grand Unified Bootloader), die als "BootHole" bezeichnet wird, kann eine Umgehung des sicheren Starts ermöglichen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

Betroffene Plattformen: 
Dell EMC PowerEdge-Server, auf denen UEFI Secure Boot aktiviert ist

Details

Wie im Dell Sicherheitshinweis angegeben, kann als Reaktion von Dell auf GRUB2-Sicherheitslücken, die eine Umgehung des sicheren Starts einer Gruppe von offengelegten Sicherheitslücken in GRUB (Grand Unified Bootloader), auch bekannt als "BootHole", ermöglichen, eine Umgehung des sicheren Starts ermöglichen.

Die Secure Boot-Funktion wird auf PowerEdge-Servern der 13. Generation und neuer unterstützt, wenn Sie ein Betriebssystem (BS) verwenden, das diese Funktion ebenfalls unterstützt. Eine Liste der Supportmatrizen für PowerEdge-Betriebssysteme finden Sie hier.


Windows:

Windows-Betriebssysteme sind betroffen, da AngreiferInnen mit physischem Zugriff auf die Plattform oder BS-Administratorrechten eine anfällige GRUB UEFI-Binärdatei laden können.

Kunden, die Windows auf ihren PowerEdge-Servern ausführen, sollten die Anleitung von Microsoft unter Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011


Linux:

Um den Secure Boot-Status Ihres Systems zu überprüfen, verwenden Sie den folgenden BS-Befehl:


UEFI-Start ist deaktiviert. Secure Boot ist deaktiviert:

# mokutil --sb-state

EFI-Variablen werden auf diesem System nicht unterstützt

 


UEFI-Start ist aktiviert. Secure Boot ist deaktiviert:

# mokutil --sb-state

SecureBoot deaktiviert

 


Secure Boot ist aktiviert:

# mokutil --sb-state

SecureBoot aktiviert

 

 

Recommendations

Linux-Distributionen, die von Dell EMC PowerEdge-Servern unterstützt werden – Red Hat Enterprise Linux, SuSE Enterprise Linux und Ubuntu – haben aktualisierte Pakete veröffentlicht, die Korrekturen für die oben genannten CVEs enthalten.

Wir empfehlen Ihnen, die veröffentlichten Empfehlungen der Linux-Distributionsanbieter zu befolgen, um die betroffenen Pakete in der richtigen Reihenfolge auf die neuesten Versionen zu aktualisieren, die vom Linux-Distributionsanbieter bereitgestellt werden.

Wenn Secure Boot nach dem Anwenden der Updates des Linux-Distributionsanbieters fehlschlägt, verwenden Sie eine der folgenden Optionen zur Wiederherstellung:

  • Starten Sie eine Rettungs-DVD und versuchen Sie, die vorherige Version von shim, grub2 und kernel neu zu installieren.
  • Setzen Sie die BIOS-dbx-Datenbank auf den werkseitigen Standardwert zurück und entfernen Sie alle von dbx angewendeten Updates (entweder vom Betriebssystemanbieter oder auf andere Weise) mithilfe des folgenden Verfahrens:
    1. BIOS-Setup aufrufen (F2) 
    2. Wählen Sie "Systemsicherheit" aus. 
    3. Legen Sie "Secure Boot-Policy" auf "Custom" fest. 
    4. Wählen Sie "Secure Boot Custom Policy Settings" aus. 
    5. Wählen Sie "Forbidden Signature Database (dbx)" aus. 
    6. Wählen Sie "Restore Default Forbidden Signature Database" -> "Yes" -> "OK". 
    7. Legen Sie "Secure Boot-Policy" auf "Standard" fest. 
    8. Speichern und beenden 


Warnung: Sobald Ihre dbx-Datenbank auf die Werkseinstellungen zurückgesetzt wurde, wird Ihr System nicht mehr gepatcht und ist anfällig für diese und alle anderen Schwachstellen, die in späteren Updates behoben werden.

 

Zugehörige Anbieterempfehlungen für Linux-Distributionen

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.