Сервери Dell EMC PowerEdge: Додаткова інформація щодо вразливості GRUB2 – "BootHole"
Summary: Група виявлених вразливостей у GRUB (Grand Unified Bootloader), відома як "BootHole", може дозволити обхід Secure Boot.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
N/A
Issue Summary
Платформи, на які це вплинуло:
Сервери Dell EMC PowerEdge, на яких увімкнено безпечне завантаження UEFI
Details
Як зазначено в повідомленні про безпеку Dell, відповідь Dell на вразливості Grub2, яка може дозволити безпечний обхід завантаження групу виявлених вразливостей у GRUB (Grand Unified Bootloader), відому як "BootHole", може дозволити обхід Secure Boot.
Функція Secure Boot підтримується на серверах PowerEdge 13G і новіших версіях під час використання операційної системи (ОС), яка також підтримує цю функцію. Список матриць підтримки PowerEdge OS можна переглянути тут.
Вікна:
Це впливає на операційні системи Windows, оскільки зловмисник, який має фізичний доступ до платформи або права адміністратора ОС, може завантажити вразливий двійковий файл GRUB UEFI.
Клієнти, які використовують Windows на своїх серверах PowerEdge, повинні ознайомитися з рекомендаціями Microsoft у Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
Щоб перевірити статус безпечного завантаження вашої системи, використовуйте наступну команду ОС:
Завантаження UEFI вимкнено; Безпечне завантаження вимкнено:
# mokutil --sb-state
Змінні EFI не підтримуються в цій системі
увімкнено UEFI Boot; Безпечне завантаження вимкнено:
# mokutil --sb-state
SecureBoot вимкнено
Безпечне завантаження увімкнено:
# mokutil --sb-state
Функція SecureBoot увімкнена
Recommendations
Дистрибутиви Linux, що підтримуються серверами Dell EMC PowerEdge – Red Hat Enterprise Linux, SuSE Enterprise Linux та Ubuntu – випустили оновлені пакети, що містять виправлення для CVE, згаданих вище.
Ми рекомендуємо вам слідувати опублікованим рекомендаціям постачальників дистрибутивів Linux, щоб оновити відповідні пакети, у належному порядку, до останніх версій, що постачаються постачальником дистрибутива Linux.
Якщо після застосування оновлень постачальника дистрибутива Linux не вдається виконати помилку, скористайтеся одним із наступних варіантів відновлення:
- Завантажтеся на рятувальний DVD і спробуйте перевстановити попередню версію shim, grub2 і kernel.
- Скиньте базу даних BIOS dbx до заводського значення за замовчуванням і видаліть усі застосовані оновлення dbx (від постачальника ОС або іншим способом), виконавши наступну процедуру:
- Увійдіть у налаштування BIOS (F2)
- Виберіть пункт "Безпека системи"
- Встановіть для параметра "Політика безпечного завантаження" значення "Спеціальне"
- Виберіть "Налаштування користувацької політики безпечного завантаження"
- Виберіть "Заборонена база даних підписів (dbx)"
- Виберіть "Відновити базу даних заборонених підписів за замовчуванням" -> "Так" -> "ОК"
- Встановіть для параметра "Політика безпечного завантаження" значення "Стандартна"
- Збереження та вихід
Попередження: Як тільки ваша база даних dbx буде скинута до заводських налаштувань за замовчуванням, ваша система більше не виправляється і вразлива до цих та будь-яких інших вразливостей, виправлених у пізніших оновленнях.
Пов'язані рекомендації постачальників дистрибутивів Linux
Legal Disclaimer
Affected Products
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.