Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000184338

Dell PowerEdge -palvelimet Lisätietoja maaliskuun 2021 haavoittuvuuden paljastumisesta

Summary: GRUB:n (Grand Unified Bootloader) haavoittuvuudet saattavat sallia suojatun käynnistyksen ohituksen.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Security Article Type

Security KB

CVE Identifier

CVE-2020-14372    CVE-2020-25632    CVE-2020-25647    CVE-2020-27749    CVE-2020-27779
CVE-2021-20225    CVE-2021-20233

Issue Summary

Tuotteet, joita asia koskee:        
Dell PowerEdge -palvelimet ja vipuvaikutuksella hyödynnetyt alustat

Details

Lisätietoja:         
Käyttöjärjestelmätoimittajan tiedotteet löytyvät seuraavasta Dellin tietoturvailmoituksesta. Lisätietoja on tietämyskannan artikkelissa 183699:  DSN-2021-002 Dellin vastaus 2.3.2021 grub2-haavoittuvuuden paljastumiseen

Recommendations

Usein kysyttyjä kysymyksiä:        

/Q Mitä malleja asia koskee?V: Tämä vaikuttaa Dell PowerEdge -palvelimiin ja vipuvaikutuksiin hyödynnettyihin alustoihin, joissa on käytössä UEFI Secure Boot. Dell suosittelee, että asiakkaat tarkistavat käyttöjärjestelmätoimittajansa tiedotteet lisätietojen saamiseksi, mukaan lukien asianmukaiset tunnistautumis- ja lieventämistoimenpiteet.
Asiakkaan tulee noudattaa tietoturvan parhaita käytäntöjä ja estää laitteiden luvaton fyysinen käyttö. Asiakas voi myös suojautua fyysisiltä hyökkäyksiltä seuraavasti.
  1. Määritä BIOS Admin Password estämään BIOS-asennuskokoonpanon, kuten käynnistyslaitteen, ja suojatun käynnistystilan muuttaminen.
  2. Määritä käynnistysasetukset sallimaan vain käynnistäminen sisäiseen käynnistyslaitteeseen.
/Q Käytän Windows-käyttöjärjestelmää. Vaikuttiko se minä?
A: Kyllä. Tämä vaikuttaa Windows-käyttöjärjestelmiin. Haitallinen toimija, jolla on fyysinen pääsy alustaan, tai käyttöjärjestelmän järjestelmänvalvojan oikeudet, voi ladata haavoittuvan GRUB UEFI -binääri- ja käynnistysaikaohjelman. Katso  ADV200011 - Tietoturvapäivitysopas - Microsoft - Microsoftin ohjeet suojausominaisuuden ohittamiseen GRUB:ssä

K: Käytän VMWare ESXi -käyttöjärjestelmää. Vaikuttiko se minä?
A. Katso VMware-vastaus GRUB2-tietoturvaheikkoudelle

K: Mitä minun on tehtävä tämän haavoittuvuuden korjaamiseksi?
A: GRUB Patch - Osana Linux-käyttöjärjestelmämyyjien neuvoja heidän odotetaan tuovan käyttöön päivitetyt GRUB-binaarit tai joissakin tapauksissa myös ydinpäivitykset. Kannustamme sinua noudattamaan Linux-jakelun toimittajien julkaistuja suosituksia päivittääksesi paketit, joita asia koskee, oikeassa järjestyksessä Linux-jakelutoimittajan toimittamiin uusimpiin versioihin.

K: Minulla on Linux. Mistä tiedän, onko suojattu käynnistys käytössä järjestelmässäni?
A: Voit tarkistaa järjestelmän suojatun käynnistyksen tilan seuraavalla käyttöjärjestelmäkomennuksella:     

UEFI-käynnistys on poistettu käytöstä; Suojattu käynnistys on poistettu käytöstä:     
# mokutil --sb-state
EFI muuttujat eivät tue tätä järjestelmää

UEFI-käynnistys on käytössä. Suojattu käynnistys on poistettu käytöstä:     
# mokutil --sb-state
SecureBoot poistettu käytöstä

Suojattu käynnistys on käytössä:     
# mokutil --sb-state
SecureBoot käytössä

/Q Asensin korjaustiedostot Linux-jakelutiedotten jälkeen, mutta järjestelmäni ei enää käynnisty.
A: Jos Secure Boot epäonnistuu Linux-jakelutoimittajan päivitysten soveltamisen jälkeen, käytä jotakin seuraavista vaihtoehdoista:     
  • Käynnistä pelastus-DVD-levylle ja yritä asentaa uudelleen shim-, grub2- ja ydinten edellinen versio.
  • Palauta BIOS dbx -tietokanta tehtaan oletusarvoon ja poista kaikki dbx:n käyttöönottaneet päivitykset (joko käyttöjärjestelmän toimittajalta tai muilta keinoilta) seuraavasti:
1.    Anna BIOS-asetukset (F2)
2.    Valitse "Järjestelmän suojaus"
3.    Aseta suojatun käynnistyksen käytännöksi "Mukautettu"
4.    Valitse "Suojatun käynnistyksen mukautetut käytäntöasetukset"
5.    Valitse "Kielletty allekirjoitustietokanta (dbx)"
6.    Valitse "Palauta oletusarvoinen kielletty allekirjoitustietokanta" -> "Kyllä" -> "OK"
7.    Aseta "Secure Boot Policy" -ksi "Standard"
8.    Tallenna ja sulje. 

Varoitus: Kun dbx-tietokanta on palautettu tehdasasetuksiin, järjestelmää ei enää korjata, ja se on alttiina näille ja muille haavoittuvuuksille, jotka on korjattu uusissa päivityksissä.

/Q Olen määrittänyt Dell-palvelimen niin, että se ei käytä suojattua käynnistyksen valtuutettua allekirjoitustietokantaa (db) julkista UEFI CA -varmennetta. Onko Dell-palvelimeni edelleen altis GRUB2-hyökkäyksille?
A: Ei, kun olet tehnyt tämän, olet ottanut käyttöön UEFI:n suojatun käynnistyksen mukautusominaisuuden, eikä järjestelmäsi ole enää altisnykyisille haavoittuvuuksille ( CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ja CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-2020-2 14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )

Q: Miten tarkastelen palvelimen suojatun käynnistyksen valtuutetun allekirjoitustietokannan (db) tietoja?
A: Tutustu tähän asiakirjaan täältä. Voit tehdä tämän RACADM-, WS-MAN-, WINRM-, Redfish- ja BIOS F2 -asennusten avulla riippuen siitä, miten olet määrittänyt käytönvalvonnan. 


Lisätietoja:     
Lisätietoja GRUB2-haavoittuvuuksista on kohdassa Dell EMC PowerEdge Servers: Lisätietoja GRUB2-haavoittuvuudesta – "BootHole"

Legal Information

Article Properties

Affected Product

PowerEdge, Operating Systems

Product

Servers, Product Security Information

Last Published Date

30 Mar 2021

Version

2

Article Type

Security KB

Back to Top