Dell EMC PowerEdge -palvelimet: Lisätietoja GRUB2-haavoittuvuudesta – "BootHole"
Summary: Ryhmä GRUB:n (Grand Unified Bootloader) haavoittuvuuksia, jotka tunnetaan nimellä "BootHole", voivat sallia suojatun käynnistyksen ohittamisen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Ympäristöt, joita tämä koskee:
Dell EMC PowerEdge -palvelimet, joissa on käytössä UEFI Secure Boot
Details
Kuten Dellin tietoturvailmoituksessa todetaan, Dellin vastaus Grub2-haavoittuvuuksiin, jotka saattavat sallia suojatun käynnistyksen ohittamisen, GRUB:n (Grand Unified Bootloader) paljastuneiden haavoittuvuuksien ohittamisen, joka tunnetaan nimellä "BootHole", voi sallia suojatun käynnistyksen ohituksen.
Suojattua käynnistystä tuetaan 13G-palvelimissa ja uudemmissa PowerEdge-palvelimissa, kun käytössä on käyttöjärjestelmä (OS), joka tukee myös tätä ominaisuutta. Voit tarkastella PowerEdge-käyttöjärjestelmän tukimatriisien luetteloa täällä.
Windows:
Tämä vaikuttaa Windows-käyttöjärjestelmiin, koska hyökkääjät, joilla on fyysinen pääsy ympäristöön tai käyttöjärjestelmän järjestelmänvalvojan oikeudet, voivat ladata haavoittuvan GRUB UEFI -binaaritiedoston.
Windowsia PowerEdge-palvelimissa käyttävien asiakkaiden kannattaa tutustua Microsoftin ohjeisiin osoitteessa Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Voit tarkistaa järjestelmän suojatun käynnistyksen tilan seuraavalla käyttöjärjestelmän komennolla:
UEFI-käynnistys on poistettu käytöstä; Secure Boot is disabled:
# mokutil --sb-tila
EFI-muuttujia ei tueta tässä järjestelmässä
UEFI-käynnistys on käytössä; Secure Boot is disabled:
# mokutil --sb-tila
SecureBoot poistettu käytöstä
Secure Boot on käytössä:
# mokutil --sb-tila
SecureBoot käytössä
Recommendations
Dell EMC PowerEdge -palvelimien tukemat Linux-versiot – Red Hat Enterprise Linux, SuSE Enterprise Linux ja Ubuntu – ovat julkaisseet päivitettyjä paketteja, jotka sisältävät korjauksia edellä mainittuihin CVE:ihin.
Kehotamme sinua seuraamaan Linux-jakelutoimittajien julkaisemia suosituksia päivittääksesi kyseiset paketit asianmukaisessa järjestyksessä uusimpiin Linux-jakelutoimittajan toimittamiin versioihin.
Jos suojattu käynnistys epäonnistuu Linux-jakelutoimittajan päivitysten asentamisen jälkeen, käytä jotakin seuraavista tavoista palauttaaksesi:
- Käynnistä palautus-DVD:ltä ja yritä asentaa uudelleen shimin, grub2:n ja ytimen aiemmat versiot.
- Palauta BIOSin dbx-tietokanta tehdasasetuksiin ja poista kaikki asennetut dbx-päivitykset (joko käyttöjärjestelmän valmistajalta tai muulla tavalla) seuraavasti:
- Siirry BIOS-asennusohjelmaan (F2)
- Valitse System Security
- Määritä Secure Boot Policy -arvoksi Custom
- Valitse Secure Boot Custom Policy Settings
- Valitse "Kiellettyjen allekirjoitusten tietokanta (dbx)"
- Valitse "Palauta oletusarvoinen kiellettyjen allekirjoitusten tietokanta" -> "Kyllä" -> "OK"
- Määritä Secure Boot Policy -arvoksi Standard
- Tallenna ja poistu
Varoitus: Kun dbx-tietokanta on palautettu tehdasasetuksiin, järjestelmääsi ei enää korjata ja se on alttiina näille ja muille haavoittuvuuksille, jotka korjataan myöhemmissä päivityksissä.
Aiheeseen liittyvät Linux-jakelutoimittajien tiedotteet
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.