Dell EMC PowerEdgeサーバー: GRUB2の脆弱性に関する追加情報 – 「BootHole」

Summary: 「BootHole」として知られるGRUB(Grand Unified Bootloader)で公開されている脆弱性のグループは、セキュアブートのバイパスを可能にする可能性があります。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

影響を受けるプラットフォーム: 
UEFIセキュア ブートが有効になっているDell EMC PowerEdgeサーバー

Details

Dellセキュリティ通知に記載されているように、「BootHole」として知られるGRUB(Grand Unified Bootloader)で公開されている脆弱性のグループは、セキュア ブートをバイパスできる可能性のあるGrub2脆弱性に対するDellの対応により、セキュア ブートのバイパスが可能になります。

セキュア ブート機能は、13G以降のPowerEdgeサーバーでも、この機能をサポートするオペレーティング システム(OS)を使用している場合にサポートされます。PowerEdge OSサポート マトリックスのリストは、こちらで確認できます。


Windowsの場合:

Windowsオペレーティング システムは、プラットフォームへの物理的なアクセス権を持つ攻撃者、またはOS管理者権限を持つ攻撃者が脆弱なGRUB UEFIバイナリーをロードする可能性があるため、影響を受けます。

PowerEdgeサーバーでWindowsを実行しているお客様は、Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011 でMicrosoftのガイダンスを参照してください


Linuxの場合

システムのセキュア ブート ステータスを確認するには、次のOSコマンドを使用します。


UEFI起動が無効になっています。セキュア ブートが無効になっている場合:

# mokutil --sb-state

EFI変数は、このシステムではサポートされていません

 


UEFI起動が有効になっています。セキュア ブートが無効になっている場合:

# mokutil --sb-state

セキュアブートが無効

 


セキュア ブートが有効になっている場合:

# mokutil --sb-state

SecureBootが有効

 

 

Recommendations

Dell EMC PowerEdgeサーバーでサポートされているLinuxディストリビューション(Red Hat Enterprise Linux、SuSE Enterprise Linux、Ubuntu)は、上記のCVEに対する修復を含むアップデート済みパッケージをリリースしています。

Linux ディストリビューション ベンダーが公開している推奨事項に従って、影響を受けるパッケージを適切な順序で Linux ディストリビューション ベンダーが提供する最新バージョンに更新することをお勧めします。

Linuxディストリビューション ベンダーのアップデートを適用した後にセキュア ブートが失敗した場合は、次のいずれかのオプションを使用してリカバリーします。

  • レスキュー DVD から起動し、以前のバージョンの shim、grub2、カーネルの再インストールを試みます。
  • BIOS dbxデータベースを工場出荷時のデフォルト値にリセットし、次の手順を使用して、dbxが適用したアップデートを(OSベンダーまたはその他の手段から)削除します。
    1. BIOSセットアップの開始(F2) 
    2. [System Security]を選択します 
    3. [Secure Boot Policy]を[Custom]に設定します 
    4. [Secure Boot Custom Policy Settings]を選択します 
    5. [Forbidden Signature Database (dbx)]を選択します。 
    6. [Restore Default Forbidden Signature Database]を選択> [Yes]-> [OK]を選択します。 
    7. [Secure Boot Policy]を[Standard]に設定します 
    8. 保存して終了 


Warning: dbx データベースが工場出荷時のデフォルトにリセットされると、システムにパッチは適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、後のアップデートで修復されます。

 

関連するLinuxディストリビューション ベンダーのアドバイザリ

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.