CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Usein kysyttyjä kysymyksiä:
/Q
Mitä malleja asia koskee?V: Tämä vaikuttaa Dell PowerEdge -palvelimiin ja vipuvaikutuksiin hyödynnettyihin alustoihin, joissa on käytössä UEFI Secure Boot. Dell suosittelee, että asiakkaat tarkistavat käyttöjärjestelmätoimittajansa tiedotteet lisätietojen saamiseksi, mukaan lukien asianmukaiset tunnistautumis- ja lieventämistoimenpiteet.
Asiakkaan tulee noudattaa tietoturvan parhaita käytäntöjä ja estää laitteiden luvaton fyysinen käyttö. Asiakas voi myös suojautua fyysisiltä hyökkäyksiltä seuraavasti.
- Määritä BIOS Admin Password estämään BIOS-asennuskokoonpanon, kuten käynnistyslaitteen, ja suojatun käynnistystilan muuttaminen.
- Määritä käynnistysasetukset sallimaan vain käynnistäminen sisäiseen käynnistyslaitteeseen.
/Q Käytän Windows-käyttöjärjestelmää. Vaikuttiko se minä?
A: Kyllä. Tämä vaikuttaa Windows-käyttöjärjestelmiin. Haitallinen toimija, jolla on fyysinen pääsy alustaan, tai käyttöjärjestelmän järjestelmänvalvojan oikeudet, voi ladata haavoittuvan GRUB UEFI -binääri- ja käynnistysaikaohjelman. Katso
ADV200011 - Tietoturvapäivitysopas - Microsoft - Microsoftin ohjeet suojausominaisuuden ohittamiseen GRUB:ssä
K: Käytän VMWare ESXi -käyttöjärjestelmää. Vaikuttiko se minä?
A. Katso
VMware-vastaus GRUB2-tietoturvaheikkoudelle
K: Mitä minun on tehtävä tämän haavoittuvuuden korjaamiseksi?
A: GRUB Patch - Osana Linux-käyttöjärjestelmämyyjien neuvoja heidän odotetaan tuovan käyttöön päivitetyt GRUB-binaarit tai joissakin tapauksissa myös ydinpäivitykset. Kannustamme sinua noudattamaan Linux-jakelun toimittajien julkaistuja suosituksia päivittääksesi paketit, joita asia koskee, oikeassa järjestyksessä Linux-jakelutoimittajan toimittamiin uusimpiin versioihin.
K: Minulla on Linux. Mistä tiedän, onko suojattu käynnistys käytössä järjestelmässäni?
A: Voit tarkistaa järjestelmän suojatun käynnistyksen tilan seuraavalla käyttöjärjestelmäkomennuksella:
UEFI-käynnistys on poistettu käytöstä; Suojattu käynnistys on poistettu käytöstä:
# mokutil --sb-state
EFI muuttujat eivät tue tätä järjestelmää
UEFI-käynnistys on käytössä. Suojattu käynnistys on poistettu käytöstä:
# mokutil --sb-state
SecureBoot poistettu käytöstä
Suojattu käynnistys on käytössä:
# mokutil --sb-state
SecureBoot käytössä
/Q Asensin korjaustiedostot Linux-jakelutiedotten jälkeen, mutta järjestelmäni ei enää käynnisty.
A: Jos Secure Boot epäonnistuu Linux-jakelutoimittajan päivitysten soveltamisen jälkeen, käytä jotakin seuraavista vaihtoehdoista:
- Käynnistä pelastus-DVD-levylle ja yritä asentaa uudelleen shim-, grub2- ja ydinten edellinen versio.
- Palauta BIOS dbx -tietokanta tehtaan oletusarvoon ja poista kaikki dbx:n käyttöönottaneet päivitykset (joko käyttöjärjestelmän toimittajalta tai muilta keinoilta) seuraavasti:
1. Anna BIOS-asetukset (F2)
2. Valitse "Järjestelmän suojaus"
3. Aseta suojatun käynnistyksen käytännöksi "Mukautettu"
4. Valitse "Suojatun käynnistyksen mukautetut käytäntöasetukset"
5. Valitse "Kielletty allekirjoitustietokanta (dbx)"
6. Valitse "Palauta oletusarvoinen kielletty allekirjoitustietokanta" -> "Kyllä" -> "OK"
7. Aseta "Secure Boot Policy" -ksi "Standard"
8. Tallenna ja sulje.
Varoitus: Kun dbx-tietokanta on palautettu tehdasasetuksiin, järjestelmää ei enää korjata, ja se on alttiina näille ja muille haavoittuvuuksille, jotka on korjattu uusissa päivityksissä.
/Q Olen määrittänyt Dell-palvelimen niin, että se ei käytä suojattua käynnistyksen valtuutettua allekirjoitustietokantaa (db) julkista UEFI CA -varmennetta. Onko Dell-palvelimeni edelleen altis GRUB2-hyökkäyksille?
A: Ei, kun olet tehnyt tämän, olet ottanut käyttöön UEFI:n suojatun käynnistyksen mukautusominaisuuden, eikä järjestelmäsi ole enää altis
nykyisille haavoittuvuuksille ( CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ja
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-2020-2 14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Miten tarkastelen palvelimen suojatun käynnistyksen valtuutetun allekirjoitustietokannan (db) tietoja?
A: Tutustu tähän asiakirjaan
täältä. Voit tehdä tämän RACADM-, WS-MAN-, WINRM-, Redfish- ja BIOS F2 -asennusten avulla riippuen siitä, miten olet määrittänyt käytönvalvonnan.
Lisätietoja:
Lisätietoja GRUB2-haavoittuvuuksista on
kohdassa Dell EMC PowerEdge Servers: Lisätietoja GRUB2-haavoittuvuudesta – "BootHole"