Skip to main content
Contact Us

Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"

Summary: Skupina odhalených chyb zabezpečení v zavaděči GRUB (Grand Unified Bootloader), známá jako "BootHole", může umožnit obejití bezpečného spouštění.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Security Article Type

Security KB

CVE Identifier

N/A

Issue Summary

Dotčené platformy: 
Servery Dell EMC PowerEdge s povoleným systémem UEFI Secure Boot

Details

Jak je uvedeno v bezpečnostním oznámení společnosti Dell, reakce společnosti Dell na chyby zabezpečení GRUB2, které mohou umožnit bezpečné obejití spouštění Skupina zveřejněných chyb zabezpečení v zavaděči GRUB (Grand Unified Bootloader), známých jako "BootHole", může umožnit obejití zabezpečeného spouštění.

Funkce Secure Boot je podporována na serverech PowerEdge 13G a novějších, pokud používají operační systém (OS), který tuto funkci také podporuje. Seznam matic podpory operačního systému PowerEdge naleznete zde.


Windows:

Operační systémy Windows jsou dotčeny, protože útočník s fyzickým přístupem k platformě nebo oprávněními správce operačního systému by mohl načíst zranitelný binární soubor GRUB UEFI.

Zákazníci, kteří na svých serverech PowerEdge používají systém Windows, by si měli přečíst pokyny společnosti Microsoft na webu Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011


Linux:

Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:


Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:

# mokutil --sb-state

Proměnné EFI nejsou v tomto systému podporovány

 


Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:

# mokutil --sb-state

Funkce SecureBoot zakázána

 


Bezpečné spouštění je povoleno:

# mokutil --sb-state

Povoleno funkci SecureBoot

 

 

Recommendations

Distribuce systému Linux podporované servery Dell EMC PowerEdge – Red Hat Enterprise Linux, SuSE Enterprise Linux a Ubuntu – byly vydány aktualizované balíčky obsahující nápravu pro výše uvedené chyby CVE.

Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.

Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:

  • Spusťte záchranné DVD a pokuste se přeinstalovat předchozí verzi shim, grub2 a jádra.
  • Obnovte databázi dbx systému BIOS na výchozí tovární hodnotu a pomocí následujícího postupu odeberte všechny aktualizace dbx (od dodavatele operačního systému nebo jiným způsobem):
    1. Přechod do nastavení systému BIOS (F2) 
    2. Vyberte možnost "System Security". 
    3. Nastavte "Secure Boot Policy" na "Custom" 
    4. Vyberte možnost "Secure Boot Custom Policy Settings". 
    5. Vyberte "Forbidden Signature Database (dbx)" 
    6. Vyberte možnost "Restore Default Forbidden Signature Database" –> "Yes" –> "OK". 
    7. Nastavte "Secure Boot Policy" na "Standard" 
    8. Uložit a ukončit 


Varování: Jakmile bude databáze dbx resetována do výchozího továrního nastavení, váš systém již nebude opraven a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení opraveným v pozdějších aktualizacích.

 

Související doporučení pro dodavatele distribuce systému Linux

Legal Disclaimer

Affected Products

Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8 , SUSE Linux Enterprise Server 15 ...
Article Properties
Article Number: 000177294
Article Type: Security KB
Last Modified: 21 Feb 2021
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.