Серверы Dell EMC PowerEdge. Дополнительная информация об уязвимости GRUB2 — «BootHole»
Summary: Группа обнаруженных уязвимостей в GRUB (Grand Unified Bootloader), известная как «BootHole», может позволить обход безопасной загрузки.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Затронутые платформы:
Серверы Dell EMC PowerEdge с включенной безопасной загрузкой UEFI
Details
Как указано в уведомлении по безопасности Dell, реакция Dell на уязвимости Grub2, которые могут позволить обход безопасной загрузки, группа обнаруженных уязвимостей в GRUB (Grand Unified Bootloader), известная как «BootHole», может разрешить обход безопасной загрузки.
Функция безопасной загрузки поддерживается на серверах PowerEdge 13-го поколения и более новых версиях при использовании операционной системы (ОС), которая также поддерживает эту функцию. Список таблиц поддержки ОС PowerEdge можно просмотреть здесь.
Windows:
Операционные системы Windows подвержены таким образом, что злоумышленник, обладающий физическим доступом к платформе или привилегиями администратора ОС, может загрузить уязвимый двоичный файл GRUB UEFI.
Заказчикам, использующим Windows на своих серверах PowerEdge, следует ознакомиться с рекомендациями Microsoft на странице Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Чтобы проверить статус безопасной загрузки системы, используйте следующую команду ОС:
Загрузка UEFI отключена; Безопасная загрузка отключена:
# mokutil --sb-state
Переменные EFI не поддерживаются в этой системе
Включена загрузка UEFI; Безопасная загрузка отключена:
# mokutil --sb-state
Функция SecureBoot отключена
Безопасная загрузка включена:
# mokutil --sb-state
Включена функция SecureBoot
Recommendations
Дистрибутивы Linux, поддерживаемые серверами Dell EMC PowerEdge, — Red Hat Enterprise Linux, SuSE Enterprise Linux и Ubuntu — выпустили обновленные пакеты, содержащие исправления для вышеупомянутых CVE.
Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков дистрибутивов Linux и обновлять затронутые пакеты в надлежащем порядке до последних версий, предоставленных поставщиком дистрибутива Linux.
Если безопасная загрузка завершается сбоем после установки обновлений поставщика дистрибутива Linux, используйте один из следующих вариантов для восстановления:
- Загрузите аварийный DVD-диск и попытайтесь переустановить предыдущую версию shim, grub2 и ядра.
- Сбросьте базу данных dbx BIOS до заводских настроек по умолчанию и удалите все примененные обновления dbx (от поставщика ОС или другими способами), выполнив следующие действия.
- Войдите в настройки BIOS (F2)
- Выберите «System Security».
- Установите для параметра «Secure Boot Policy» значение «Custom».
- Выберите «Secure Boot Custom Policy Settings».
- Выберите «Forbidden Signature Database (dbx)».
- Выберите «Восстановить базу данных запрещенных подписей по умолчанию» -> «Да» -> «ОК»
- Установите для параметра «Secure Boot Policy» значение «Standard»
- Сохранить и выйти
Предупреждение! После того, как ваша база данных dbx будет сброшена до заводских настроек по умолчанию, ваша система больше не будет исправлена и будет уязвима к этим и любым другим уязвимостям, исправленным в последующих обновлениях.
Связанные рекомендации по поставщикам дистрибутивов Linux
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.