Serwery Dell EMC PowerEdge: Dodatkowe informacje dotyczące luki w zabezpieczeniach GRUB2 — "BootHole"

Dystrybucje systemu Linux obsługiwane przez serwery Dell EMC PowerEdge — Red Hat Enterprise Linux, SuSE Enterprise Linux i Ubuntu — opublikowały zaktualizowane pakiety zawierające poprawki do luk CVE wymienionych powyżej.

Zachęcamy do przestrzegania opublikowanych zaleceń dostawców dystrybucji systemu Linux w celu zaktualizowania pakietów, których dotyczy problem, we właściwej kolejności, do najnowszych wersji dostarczanych przez dostawcę dystrybucji systemu Linux.

Jeśli bezpieczny rozruch nie powiedzie się po zastosowaniu aktualizacji dostawcy dystrybucji Linuksa, użyj jednej z następujących opcji, aby odzyskać:

• Uruchom ratunkowy dysk DVD i spróbuj ponownie zainstalować poprzednią wersję shim, grub2 i jądra.
• Zresetuj bazę danych dbx systemu BIOS do domyślnych wartości fabrycznych i usuń wszystkie zastosowane aktualizacje dbx (od dostawcy systemu operacyjnego lub w inny sposób), postępując zgodnie z następującą procedurą:
  1. Przejdź do konfiguracji systemu BIOS (F2) 
  2. Wybierz "Zabezpieczenia systemu" 
  3. Ustaw dla "Secure Boot Policy" parametr "Custom" 
  4. Wybierz opcję "Secure Boot Custom Policy Settings". 
  5. Wybierz "Forbidden Signature Database (dbx)" 
  6. Wybierz opcję "Przywróć domyślną bazę zabronionych sygnatur" - "Tak" ->> "OK" 
  7. Ustaw dla "Secure Boot Policy" wartość "Standard" 
  8. Zapisz i zamknij 

Ostrzeżenie: Po zresetowaniu dbx bazy danych do domyślnych ustawień fabrycznych system nie jest już poprawiony i jest podatny na te i wszelkie inne luki w zabezpieczeniach, które zostały naprawione w późniejszych aktualizacjach.

 

Powiązane porady dla dostawców dystrybucji Linuksa

• Red Hat https://access.redhat.com/security/vulnerabilities/grub2bootloader
• SUSE https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/
• https://ubuntu.com/blog/mitigating-boothole-theres-a-hole-in-the-boot-cve-2020-10713-and-related-vulnerabilities kanoniczne