CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Ofte stillede spørgsmål:
/Q
Hvilke modeller påvirkes?Sv.: Dell PowerEdge servere og udnyttede platforme, der har UEFI Secure boot enabled, påvirkes. Dell anbefaler, at kunderne gennemgår deres program udbyderes Advisor for at få yderligere oplysninger, herunder passende identifikation og yderligere afhjælpnings foranstaltninger.
Kunden bør følge Best Practices for sikkerhed og forhindre uautoriseret fysisk adgang til enheder. Kunden kan også træffe de følgende foranstaltninger for yderligere at beskytte sig selv mod fysiske angreb.
- Indstil BIOS admin-adgangskoden for at forhindre ændring af BIOS-opsætnings konfigurationen, såsom startenheden og sikker starttilstand.
- Konfigurere startindstillinger, så det kun er muligt at starte op til den interne startenhed.
/Q Jeg bruger et Windows-operativ system. Er jeg stødet på?
A: Ja. Windows-operativsystemer påvirkes. En ondsindet agent, der har fysisk adgang til platformen, eller OS-administratorrettigheder, kan indlæse en sårbar GRUB UEFI binær-og start tid malware. Se
ADV200011-sikkerhedsopdaterings vejledning-Microsoft-Microsoft vejledning til adressering af sikkerheds funktions tilsidesættelse i GRUB
Spørgsmål: Jeg bruger VMWare ESXi operativsystemet. Er jeg stødet på?
A. Se
VMware respons på grub2 sikkerhedssvaghed
Spørgsmål: Hvad skal jeg gøre for at udbedre denne sårbarhed?
A: GRUB patch-som en del af Linux Operating System Vendors Advisors, er de forventet at implementere opdaterede GRUB-binære filer eller i visse tilfælde også opdateringer af kernen. Vi anbefaler, at du følger de offentliggjorte anbefalinger fra Linux-distributions leverandørerne for at opdatere de berørte pakker i den rigtige rækkefølge til de nyeste versioner, der leveres af Linux distributions leverandøren.
Spørgsmål: Jeg kører Linux. Hvordan ved jeg, om jeg har sikker start aktiveret på mit system?
A: Hvis du vil kontrollere din Systems sikre startstatus, skal du bruge følgende OS-kommando:
UEFI boot er deaktiveret. Sikker Bootstart er deaktiveret:
# mokutil--SB-tilstand
EFI-variabler understøttes ikke på dette system
UEFI boot (Start) er aktiveret. Sikker Bootstart er deaktiveret:
# mokutil--SB-tilstands
SecureBoot deaktiveret
Secure boot (sikker opstart) er aktiveret:
# mokutil--SB-tilstand
SecureBoot aktiveret
/Q Jeg har installeret programrettelsen efter Linux distributions meddelelserne, men mit system starter ikke længere.
A: Hvis der opstår en sikker opstart efter anvendelse af Linux distributions producentens opdateringer, skal du bruge en af følgende muligheder for at gendanne:
- Start til en rednings DVD, og forsøg at geninstallere den tidligere version af Shim, grub2 og kerne.
- Nulstil BIOS-dbx-databasen til fabriksstandard værdien, og fjern evt. dbx-anvendte opdateringer (enten fra OS-leverandør eller anden metode) ved hjælp af følgende fremgangsmåde:
1. Åbn BIOS-opsætningen (F2)
2. Vælg "system sikkerhed"
3. Indstil "sikker boot-politik" til "brugerdefineret"
4. Vælg "indstillinger for Secure boot-brugerdefineret politik"
5. Vælg "forbudt signatur database (dbx)"
6. Vælg "Gendan standard-forbudt signatur database"-> "ja"-> "OK"
7. Indstil "politik for" sikker Bootstart "til" standard "
8. Gem og afslut
Advarsel: Når din dbx-database nulstilles til fabriksstandarden, er dit system ikke længere opdateret og er sårbart over for disse og eventuelle andre sårbarheder, der er blevet afgivet i senere opdateringer.
/Q Jeg har konfigureret min Dell server, så den ikke bruger det offentlige UEFI CA-certifikat i den autoriserede signatur database Secure boot (dB). Er min Dell server stadig modtagelig for GRUB2-angreb?
A: Nej, når du har gjort det, vil du have implementeret UEFI Secure boot-funktionen tilpasning, og dit system er ikke længere modtagelig for de aktuelt kendte sårbarheder (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 og
CVE-2020-10713, CVE-2020-14308 , CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, med CVE-c)
Q: Hvordan kan jeg se, hvad der er med i serverens autoriserede start signatur database (dB)?
A: Se venligst dette dokument
her. Du kan gøre dette via RACADM, WS-MAN, WINRM, Redfish og BIOS F2-opsætning, alt efter hvordan du har konfigureret adgangskontrol.
Yderligere referencer:
Du kan finde flere oplysninger om GRUB2-sårbarheder på
Dell EMC PowerEdge-servere: Yderligere oplysninger om GRUB2-sårbarheden – "BootHole"