Dell EMC PowerEdge Servers: Aanvullende informatie met betrekking tot het GRUB2-beveiligingslek – "BootHole"
Summary: Een groep onthulde beveiligingslekken in GRUB (Grand Unified Bootloader), bekend als "BootHole", kan Secure Boot omzeilen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Betreffende platforms:
Dell EMC PowerEdge servers waarop UEFI Secure Boot is ingeschakeld
Details
Zoals vermeld in de Dell beveiligingskennisgeving, kan de reactie van Dell op Grub2-beveiligingslekken waardoor Secure Boot kan worden omzeild door een groep bekendgemaakte beveiligingslekken in GRUB (Grand Unified Bootloader), ook wel bekend als "BootHole", Secure Boot bypass.
De functie Veilig opstarten wordt ondersteund op 13G en nieuwere PowerEdge servers bij gebruik van een besturingssysteem (OS) dat deze functie ook ondersteunt. U kunt de lijst met PowerEdge OS Support Matrices hier bekijken.
Windows:
Windows-besturingssystemen worden beïnvloed omdat een aanvaller met fysieke toegang tot het platform of beheerdersrechten van het besturingssysteem een kwetsbare GRUB UEFI binary kan laden.
Klanten die Windows op hun PowerEdge servers uitvoeren, moeten de richtlijnen van Microsoft op Microsoft raadplegen https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Gebruik de volgende OS-opdracht om de Secure Boot-status van uw systeem te controleren:
UEFI-opstartmodus is uitgeschakeld; Veilig opstarten is uitgeschakeld:
# mokutil --sb-state
EFI-variabelen worden niet ondersteund in dit systeem
UEFI-opstartmodus is ingeschakeld; Veilig opstarten is uitgeschakeld:
# mokutil --sb-state
SecureBoot uitgeschakeld
Veilig opstarten is ingeschakeld:
# mokutil --sb-state
SecureBoot ingeschakeld
Recommendations
Linux-distributies die worden ondersteund door Dell EMC PowerEdge servers, Red Hat Enterprise Linux, SuSE Enterprise Linux en Ubuntu, hebben bijgewerkte pakketten uitgebracht met oplossingen voor de bovengenoemde CVE's.
We raden u aan de gepubliceerde aanbevelingen van de leveranciers van de Linux-distributie te volgen om de betreffende pakketten in de juiste volgorde bij te werken naar de meest recente versies die door de leverancier van de Linux-distributie worden geleverd.
Als Secure Boot mislukt nadat u de updates van de Linux-distributieleverancier hebt toegepast, gebruikt u een van de volgende opties om het probleem te herstellen:
- Start op naar een herstel-dvd en probeer de vorige versie van shim, grub2 en kernel opnieuw te installeren.
- Reset de BIOS dbx-database naar de fabriekswaarde en verwijder alle dbx-updates (van de leverancier van het besturingssysteem of op een andere manier) met behulp van de volgende procedure:
- Ga naar BIOS Setup (F2)
- Selecteer "System Security"
- Stel "Secure Boot Policy" in op "Custom"
- Selecteer "Secure Boot Custom Policy Settings"
- Selecteer "Forbidden Signature Database (dbx)"
- Selecteer "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
- Stel "Secure Boot Policy" in op "Standard"
- Opslaan en sluiten
Waarschuwing: Zodra uw dbx-database is teruggezet naar de fabrieksinstellingen, wordt uw systeem niet langer gepatcht en is het kwetsbaar voor deze en andere kwetsbaarheden die in latere updates worden verholpen.
Gerelateerde adviezen van leveranciers van Linux-distributie
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.