Dell EMC PowerEdge 서버: GRUB2 취약성 – "BootHole"에 대한 추가 정보

Summary: "BootHole"로 알려진 GRUB(Grand Unified Bootloader)의 공개된 취약점 그룹은 보안 부팅 우회를 허용할 수 있습니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

해당되는 플랫폼: 
UEFI 보안 부팅이 활성화된 Dell EMC PowerEdge 서버

Details

Dell 보안 공지에 참조된 바와 같이, 보안 부팅을 우회할 수 있는 Grub2 취약성에 대한 Dell의 대응 "BootHole"로 알려진 GRUB(Grand Unified Bootloader)의 공개된 취약성 그룹이 보안 부팅 우회를 허용할 수 있습니다.

보안 부팅 기능은 이 기능을 지원하는 OS(Operating System)를 사용하는 경우 13G 이상의 PowerEdge 서버에서 지원됩니다. 여기에서 PowerEdge OS Support Matrix 목록을 볼 수 있습니다.


Windows:

Windows 운영 체제는 플랫폼에 물리적으로 액세스하거나 OS 관리자 권한을 가진 공격자가 취약한 GRUB UEFI 바이너리를 로드할 수 있으므로 영향을 받습니다.

PowerEdge 서버에서 Windows를 실행하는 고객은 Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011 에서 Microsoft의 지침을 참조해야 합니다.


Linux:

시스템의 보안 부팅 상태를 확인하려면 다음 OS 명령을 사용합니다.


UEFI 부팅이 비활성화되었습니다. 보안 부팅이 비활성화됨:

# mokutil --sb-state

EFI 변수는 이 시스템에서 지원되지 않습니다.

 


UEFI 부팅이 활성화되었습니다. 보안 부팅이 비활성화됨:

# mokutil --sb-state

SecureBoot 비활성화됨

 


보안 부팅이 활성화됨:

# mokutil --sb-state

SecureBoot 활성화됨

 

 

Recommendations

Dell EMC PowerEdge 서버에서 지원되는 Linux 배포판인 Red Hat Enterprise Linux, SuSE Enterprise Linux 및 Ubuntu는 위에서 언급한 CVE에 대한 문제 해결이 포함된 업데이트된 패키지를 릴리스했습니다.

Linux 배포 공급업체가 게시한 권장 사항에 따라 영향을 받는 패키지를 Linux 배포 공급업체에서 제공하는 최신 버전으로 적절한 순서로 업데이트하는 것이 좋습니다.

Linux 배포 공급업체의 업데이트를 적용한 후 보안 부팅이 실패하는 경우 다음 옵션 중 하나를 사용하여 복구합니다.

  • 복구 DVD로 부팅하고 이전 버전의 shim, grub2 및 커널을 다시 설치해 봅니다.
  • BIOS dbx 데이터베이스를 출고 시 기본값으로 리셋하고 다음 절차를 따라 dbx 적용 업데이트(OS 공급업체 또는 기타 수단에서)를 모두 제거합니다.
    1. BIOS 설정으로 들어갑니다(F2). 
    2. "시스템 보안"을 선택합니다. 
    3. "Secure Boot Policy"를 "Custom"으로 설정합니다. 
    4. "Secure Boot Custom Policy Settings"를 선택합니다. 
    5. "금지된 서명 데이터베이스(dbx)"를 선택합니다. 
    6. "금지된 기본 서명 데이터베이스 복원" -> "예" -> "확인"을 선택합니다. 
    7. "Secure Boot Policy"를 "Standard"로 설정 
    8. 저장 후 종료 


경고: dbx 데이터베이스가 공장 기본값으로 재설정되면 시스템은 더 이상 패치되지 않으며 이러한 취약성 및 기타 취약성에 취약하며 이후 업데이트에서 수정됩니다.

 

관련 Linux 배포판 공급업체 권고 사항

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.