Serveurs Dell EMC PowerEdge : Informations supplémentaires concernant la vulnérabilité GRUB2 – « BootHole »
Summary: Un groupe de failles de sécurité divulguées dans GRUB (Grand Unified Bootloader), connu sous le nom de « BootHole », peut permettre le contournement de Secure Boot.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Plates-formes concernées :
Serveurs Dell EMC PowerEdge avec démarrage sécurisé UEFI activé
Details
Comme indiqué dans l’avis de sécurité Dell, la réponse de Dell aux failles de sécurité Grub2 qui peuvent permettre le contournement de Secure Boot un groupe de failles de sécurité divulguées dans GRUB (Grand Unified Bootloader), appelé « BootHole », peut permettre le contournement de Secure Boot.
La fonctionnalité Secure Boot est prise en charge sur les serveurs PowerEdge 13G et plus récents lors de l’utilisation d’un système d’exploitation (SE) qui prend également en charge cette fonctionnalité. Vous pouvez consulter la liste des matrices de support du système d’exploitation PowerEdge ici.
Windows. :
Les systèmes d’exploitation Windows sont concernés, car un attaquant disposant d’un accès physique à la plate-forme ou de privilèges d’administrateur du système d’exploitation pourrait charger un fichier binaire GRUB UEFI vulnérable.
Les clients exécutant Windows sur leurs serveurs PowerEdge doivent se reporter aux conseils fournis par Microsoft à l’adresse Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux :
Pour vérifier l’état Secure Boot de votre système, utilisez la commande suivante du système d’exploitation :
Le démarrage UEFI est désactivé ; Secure Boot est désactivé :
# mokutil --sb-state
Les variables EFI ne sont pas prises en charge sur ce système
Le démarrage UEFI est activé ; Secure Boot est désactivé :
# mokutil --sb-state
SecureBoot désactivé
Secure Boot est activé :
# mokutil --sb-state
SecureBoot activé
Recommendations
Les distributions Linux prises en charge par les serveurs Dell EMC PowerEdge, à savoir Red Hat Enterprise Linux, SuSE Enterprise Linux et Ubuntu, ont publié des packages mis à jour contenant des mesures correctives pour les CVE citées ci-dessus.
Nous vous encourageons à suivre les recommandations publiées par les fournisseurs de distribution Linux pour mettre à jour les paquets concernés, dans l’ordre approprié, vers les dernières versions fournies par le fournisseur de distribution Linux.
Si le démarrage sécurisé échoue après l’application des mises à jour du fournisseur de distribution Linux, utilisez l’une des options suivantes pour effectuer une restauration :
- Démarrez à partir d’un DVD de secours et essayez de réinstaller la version précédente de shim, grub2 et le noyau.
- Réinitialisez la base de données dbx du BIOS à la valeur d’usine par défaut et supprimez toutes les mises à jour appliquées par dbx (à partir du fournisseur du système d’exploitation ou par d’autres moyens) en suivant la procédure suivante :
- Accédez à la configuration du BIOS (F2)
- Sélectionnez « Sécurité des systèmes ».
- Définissez « Secure Boot Policy » sur « Custom »
- Sélectionnez « Secure Boot Custom Policy Settings ».
- Sélectionnez « Base de données des signatures interdites (dbx) »
- Sélectionnez « Restaurer la base de données des signatures interdites par défaut » -> « Oui » -> « OK »
- Définissez « Secure Boot Policy » sur « Standard »
- Enregistrer et quitter
Avertissement : Une fois que votre base de données dbx a été réinitialisée aux paramètres d’usine par défaut, votre système n’est plus corrigé et est vulnérable à ces vulnérabilités, ainsi qu’à toute autre vulnérabilité, corrigées dans des mises à jour ultérieures.
Conseils aux fournisseurs de distribution Linux connexes
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.