Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000184338

Dell PowerEdge-servere: Yderligere oplysninger om svaghed ved sårbarhed af marts 2021 (GRUB)

Summary: Sårbarheder i GRUB (Grand Unified bootloader) kan tillade sikker start bypass.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Security Article Type

Security KB

CVE Identifier

CVE-2020-14372    CVE-2020-25632    CVE-2020-25647    CVE-2020-27749    CVE-2020-27779
CVE-2021-20225    CVE-2021-20233

Issue Summary

Berørte produkter:        
Dell PowerEdge servere og udnyttede platforme

Details

Reference,         
Operativ system udbyderens rådgivere er fundet på følgende Dell sikkerhedsmeddelelse. Se KB-artikel 183699:  DSN-2021-002 Dell svar på 2. marts 2021 grub2-sårbarheds afsløring

Recommendations

Ofte stillede spørgsmål:        

/Q Hvilke modeller påvirkes?Sv.: Dell PowerEdge servere og udnyttede platforme, der har UEFI Secure boot enabled, påvirkes. Dell anbefaler, at kunderne gennemgår deres program udbyderes Advisor for at få yderligere oplysninger, herunder passende identifikation og yderligere afhjælpnings foranstaltninger.
Kunden bør følge Best Practices for sikkerhed og forhindre uautoriseret fysisk adgang til enheder. Kunden kan også træffe de følgende foranstaltninger for yderligere at beskytte sig selv mod fysiske angreb.
  1. Indstil BIOS admin-adgangskoden for at forhindre ændring af BIOS-opsætnings konfigurationen, såsom startenheden og sikker starttilstand.
  2. Konfigurere startindstillinger, så det kun er muligt at starte op til den interne startenhed.
/Q Jeg bruger et Windows-operativ system. Er jeg stødet på?
A: Ja. Windows-operativsystemer påvirkes. En ondsindet agent, der har fysisk adgang til platformen, eller OS-administratorrettigheder, kan indlæse en sårbar GRUB UEFI binær-og start tid malware. Se  ADV200011-sikkerhedsopdaterings vejledning-Microsoft-Microsoft vejledning til adressering af sikkerheds funktions tilsidesættelse i GRUB

Spørgsmål: Jeg bruger VMWare ESXi operativsystemet. Er jeg stødet på?
A. Se VMware respons på grub2 sikkerhedssvaghed

Spørgsmål: Hvad skal jeg gøre for at udbedre denne sårbarhed?
A: GRUB patch-som en del af Linux Operating System Vendors Advisors, er de forventet at implementere opdaterede GRUB-binære filer eller i visse tilfælde også opdateringer af kernen. Vi anbefaler, at du følger de offentliggjorte anbefalinger fra Linux-distributions leverandørerne for at opdatere de berørte pakker i den rigtige rækkefølge til de nyeste versioner, der leveres af Linux distributions leverandøren.

Spørgsmål: Jeg kører Linux. Hvordan ved jeg, om jeg har sikker start aktiveret på mit system?
A: Hvis du vil kontrollere din Systems sikre startstatus, skal du bruge følgende OS-kommando:     

UEFI boot er deaktiveret. Sikker Bootstart er deaktiveret:     
# mokutil--SB-tilstand
EFI-variabler understøttes ikke på dette system

UEFI boot (Start) er aktiveret. Sikker Bootstart er deaktiveret:     
# mokutil--SB-tilstands
SecureBoot deaktiveret

Secure boot (sikker opstart) er aktiveret:     
# mokutil--SB-tilstand
SecureBoot aktiveret

/Q Jeg har installeret programrettelsen efter Linux distributions meddelelserne, men mit system starter ikke længere.
A: Hvis der opstår en sikker opstart efter anvendelse af Linux distributions producentens opdateringer, skal du bruge en af følgende muligheder for at gendanne:     
  • Start til en rednings DVD, og forsøg at geninstallere den tidligere version af Shim, grub2 og kerne.
  • Nulstil BIOS-dbx-databasen til fabriksstandard værdien, og fjern evt. dbx-anvendte opdateringer (enten fra OS-leverandør eller anden metode) ved hjælp af følgende fremgangsmåde:
1.    Åbn BIOS-opsætningen (F2)
2.    Vælg "system sikkerhed"
3.    Indstil "sikker boot-politik" til "brugerdefineret"
4.    Vælg "indstillinger for Secure boot-brugerdefineret politik"
5.    Vælg "forbudt signatur database (dbx)"
6.    Vælg "Gendan standard-forbudt signatur database"-> "ja"-> "OK"
7.    Indstil "politik for" sikker Bootstart "til" standard "
8.    Gem og afslut 

Advarsel: Når din dbx-database nulstilles til fabriksstandarden, er dit system ikke længere opdateret og er sårbart over for disse og eventuelle andre sårbarheder, der er blevet afgivet i senere opdateringer.

/Q Jeg har konfigureret min Dell server, så den ikke bruger det offentlige UEFI CA-certifikat i den autoriserede signatur database Secure boot (dB). Er min Dell server stadig modtagelig for GRUB2-angreb?
A: Nej, når du har gjort det, vil du have implementeret UEFI Secure boot-funktionen tilpasning, og dit system er ikke længere modtagelig for de aktuelt kendte sårbarheder (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308 , CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, med CVE-c)

Q: Hvordan kan jeg se, hvad der er med i serverens autoriserede start signatur database (dB)?
A: Se venligst dette dokument her. Du kan gøre dette via RACADM, WS-MAN, WINRM, Redfish og BIOS F2-opsætning, alt efter hvordan du har konfigureret adgangskontrol. 


Yderligere referencer:     
Du kan finde flere oplysninger om GRUB2-sårbarheder på Dell EMC PowerEdge-servere: Yderligere oplysninger om GRUB2-sårbarheden – "BootHole"

Legal Information

Article Properties

Affected Product

PowerEdge, Operating Systems

Product

Servers, Product Security Information

Last Published Date

30 Mar 2021

Version

2

Article Type

Security KB

Back to Top