Dell EMC PowerEdge-servere: Tilleggsinformasjon om GRUB2-sikkerhetsproblemet – "Boothole"
Summary: En gruppe avslørte sårbarheter i GRUB (Grand Unified Bootloader), kjent som "BootHole", kan tillate omgåelse av sikker oppstart.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Berørte plattformer:
Dell EMC PowerEdge-servere som har UEFI Secure Boot aktivert
Details
Som nevnt i Dells sikkerhetsmerknad Dells svar på Grub2-sårbarheter som kan gjøre det mulig å omgå sikker oppstart en gruppe avslørte sårbarheter i GRUB (Grand Unified Bootloader), kjent som "BootHole", kan tillate forbikobling av sikker oppstart.
Secure Boot-funksjonen støttes på 13G og nyere PowerEdge-servere når du bruker et operativsystem (OS) som også støtter denne funksjonen. Du kan se listen over støttematriser for PowerEdge OS her.
Windows:
Windows-operativsystemer påvirkes fordi en angriper med fysisk tilgang til plattformen eller rettigheter som operativsystemadministrator kan laste inn en sårbar GRUB UEFI-binær.
Kunder som kjører Windows på PowerEdge-serverne sine, kan se Microsofts veiledning hos Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Hvis du vil kontrollere status for sikker oppstart for systemet, bruker du følgende OS-kommando:
UEFI-oppstart er deaktivert. Sikker oppstart er deaktivert:
# mokutil --sb-state
EFI-variabler støttes ikke på dette systemet
UEFI-oppstart er aktivert. Sikker oppstart er deaktivert:
# mokutil --sb-state
SecureBoot er deaktivert
Sikker oppstart er aktivert:
# mokutil --sb-state
SecureBoot aktivert
Recommendations
Linux-distribusjoner som støttes av Dell EMC PowerEdge-servere – Red Hat Enterprise Linux, SuSE Enterprise Linux og Ubuntu – har lansert oppdaterte pakker som inneholder utbedring for CVE-ene nevnt ovenfor.
Vi oppfordrer deg til å følge de publiserte anbefalingene fra Linux-distribusjonsleverandørene for å oppdatere de berørte pakkene, i riktig rekkefølge, til de nyeste versjonene levert av Linux-distribusjonsleverandøren.
Hvis sikker oppstart mislykkes etter at du har brukt Linux-distribusjonsleverandørens oppdateringer, kan du bruke ett av følgende alternativer til å gjenopprette:
- Start opp på en rednings-DVD og forsøk å installere den forrige versjonen av shim, grub2 og kjernen på nytt.
- Tilbakestill BIOS dbx-databasen til fabrikkstandardverdien, og fjern alle dbx-brukte oppdateringer (enten fra OS-leverandøren eller på andre måter) ved hjelp av følgende fremgangsmåte:
- Angi BIOS-oppsett (F2)
- Velg "System Security"
- Sett "Secure Boot Policy" til "Custom"
- Velg "Secure Boot Custom Policy Settings"
- Velg "Forbidden Signature Database (dbx)"
- Velg "Gjenopprett standard forbudt signaturdatabase" -> "Ja" -> "OK"
- Sett "Secure Boot Policy" til "Standard"
- Lagre og avslutt
Advarsel: Når dbx-databasen er tilbakestilt til fabrikkinnstillingene, oppdateres ikke systemet lenger, og er sårbart for disse og eventuelle andre sårbarheter som utbedres ved senere oppdateringer.
Relaterte veiledninger fra Linux-distribusjonsleverandører
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.