Skip to main content
Contact Us

Dell EMC PowerEdge-servrar: Ytterligare information om GRUB2-sårbarheten – "BootHole"

Summary: En grupp avslöjade sårbarheter i GRUB (Grand Unified Bootloader), kända som "BootHole", kan möjliggöra förbikoppling av säker start.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

Berörda plattformar: 
Dell EMC PowerEdge-servrar med UEFI Secure Boot aktiverat

Details

Som det hänvisas till i Dells säkerhetsmeddelande Dells svar på Grub2-sårbarheter som kan göra det möjligt att kringgå en grupp av avslöjade sårbarheter i GRUB (Grand Unified Bootloader), känd som "BootHole", kan möjliggöra förbikoppling av säker start.

Säker start-funktionen stöds på 13G och nyare PowerEdge-servrar när du använder ett operativsystem (OS) som också stöder den här funktionen. Du kan se listan över PowerEdge OS-stödmatriser här.


Windows:

Windows-operativsystem påverkas eftersom en angripare med fysisk åtkomst till plattformen, eller OS-administratörsbehörighet, kan läsa in en sårbar GRUB UEFI-binärfil.

Kunder som kör Windows på sina PowerEdge-servrar bör läsa Microsofts vägledning på Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011


Linux:

För att verifiera status för säker start för ditt system, använd följande OS-kommando:


UEFI-start är inaktiverad. Säker start är inaktiverat:

# mokutil --sb-tillstånd

EFI-variabler stöds inte i det här systemet

 


UEFI-start är aktiverat. Säker start är inaktiverat:

# mokutil --sb-tillstånd

Säker start inaktiverad

 


Säker start är aktiverat:

# mokutil --sb-tillstånd

SecureBoot aktiverat

 

 

Recommendations

Linux-distributioner som stöds av Dell EMC PowerEdge-servrar – Red Hat Enterprise Linux, SuSE Enterprise Linux och Ubuntu – har släppt uppdaterade paket som innehåller åtgärder för de CVE:er som nämns ovan.

Vi rekommenderar att du följer de publicerade rekommendationerna från Linux-distributionsleverantörerna för att uppdatera de berörda paketen, i rätt ordning, till de senaste versionerna som tillhandahålls av Linux-distributionsleverantören.

Om säker start misslyckas efter att Linux-distributionsleverantörens uppdateringar har tillämpats använder du något av följande alternativ för att återställa:

  • Starta upp till en räddnings-DVD och försök att installera om den tidigare versionen av shim, grub2 och kernel.
  • Återställ BIOS dbx-databasen till fabriksinställningarna och ta bort alla dbx-tillämpade uppdateringar (antingen från OS-leverantören eller på annat sätt) med hjälp av följande procedur:
    1. Öppna BIOS-inställningarna (F2) 
    2. Välj "System Security" 
    3. Ställ in Secure Boot Policy på Custom 
    4. Välj "Secure Boot Custom Policy Settings" 
    5. Välj "Forbidden Signature Database (dbx)" 
    6. Välj "Restore Default Forden Signden Database" - "Yes" ->> "OK" 
    7. Ställ in Secure Boot Policy på Standard 
    8. Spara och avsluta 


Varning! När dbx-databasen har återställts till fabriksinställningarna korrigeras inte längre systemet och är sårbart för dessa och andra sårbarheter som åtgärdas i senare uppdateringar.

 

Relaterade råd från Linux-distributionsleverantörer

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.