Dell EMC PowerEdge 伺服器:關於 GRUB2 漏洞「BootHole」的其他資訊

Summary: GRUB (Grand Unified Bootloader) 中披露的一組漏洞 (稱為「BootHole」) 可讓安全開機略過。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

受影響的平台:
已啟用 UEFI 安全開機的 Dell EMC PowerEdge 伺服器

Details

如 Dell 安全性通知所述,Dell 對 Grub2 漏洞的回應可能允許略過安全開機,在 GRUB (Grand Unified Bootloader) 中披露的漏洞群組稱為「BootHole」,可允許略過安全開機。

13G 及更新的 PowerEdge 伺服器若使用同樣支援此功能的作業系統 (OS),則支援安全開機功能。您可以在這裡檢視 PowerEdge 作業系統支援矩陣清單。


Windows:

Windows 作業系統會受到影響,因為擁有平台實體存取權或作業系統管理員權限的攻擊者可能會載入易受攻擊的 GRUB UEFI 二進位檔。

在 PowerEdge 伺服器上執行 Windows 的客戶應參閱Microsoft Microsoft指南 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011


Linux:

若要確認系統的安全開機狀態,請使用下列作業系統命令:


UEFI 開機已停用;安全開機已停用:

# mokutil --sb-state

此系統不支援 EFI 變數

 


UEFI 開機已啟用;安全開機已停用:

# mokutil --sb-state

已停用安全開機

 


安全開機已啟用:

# mokutil --sb-state

已啟用安全開機

 

 

Recommendations

Dell EMC PowerEdge 伺服器支援的 Linux 發行版本 (Red Hat Enterprise Linux、SuSE Enterprise Linux 和 Ubuntu) 已發佈更新套件,其中包含上述 CVE 的補救措施。

我們鼓勵您遵循 Linux 分發供應商發佈的建議,以適當的順序將受影響的包更新到 Linux 分發供應商提供的最新版本。

如果安全開機在套用 Linux 分發廠商的更新後失敗,請使用下列其中一個選項進行復原:

  • 開機至救援 DVD,然後嘗試重新安裝舊版的 shim、grub2 和核心。
  • 使用下列程序將 BIOS dbx 資料庫重設為原廠預設值,並移除所有 dbx 套用的更新 (不論是從作業系統廠商或其他方式)。
    1. 進入 BIOS 設定 (F2) 
    2. 選取「System Security」 
    3. 將「Secure Boot Policy」設為「Custom」 
    4. 選取「Secure Boot Custom Policy Settings」 
    5. 選取「禁止簽章資料庫 (dbx)」 
    6. 選取「還原預設的禁止簽章資料庫」-> 「是」-> 「確定」 
    7. 將「Secure Boot Policy」設為「Standard」 
    8. 儲存並結束 


警告:將 dbx 資料庫重置為出廠預設值后,您的系統將不再打補丁,並且容易受到這些漏洞以及任何其他漏洞的影響,這些漏洞將在以後的更新中修復。

 

相關的 Linux 經銷廠商諮詢

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.