CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
자주 묻는 질문:
/Q
어떤 모델이 영향을 받습니까?A: UEFI 보안 부팅이 활성화 된 Dell PowerEdge 서버와 활용 된 플랫폼에는 영향을 미칩니다. 고객은 적절 한 식별 및 추가 완화 조치를 비롯 하 여 운영 체제 공급자의 권고 사항을 검토 하 여 자세한 정보를 확인 하는 것이 좋습니다.
Dell 고객은 보안 모범 사례를 따르고 디바이스에 대 한 무단 물리적 액세스를 방지 해야 합니다. 고객은 물리적 공격 으로부터 스스로를 보호 하기 위해 다음과 같은 조치를 취할 수도 있습니다.
- Bios 관리자 암호를 설정 하 여 부팅 장치, 보안 부팅 모드 등 BIOS 설정 구성을 변경 하지 않도록 합니다.
- 내부 부팅 디바이스로의 부팅만 허용 하도록 부팅 설정을 구성 합니다.
/Q 필자는 Windows 운영 체제를 사용 합니다. 영향을 받습니까?
A: 예. Windows 운영 체제에 영향을 미칩니다. 플랫폼에 대 한 물리적 액세스 권한이 있는 악의적인 행위자 또는 OS 관리자 권한에는 취약 한 GRUB UEFI 바이너리 및 부팅 시간 맬웨어가 로드 될 수 있습니다. RM에 대한 문의는
ADV200011-Security Update Guide-Microsoft-GRUB
에서 보안 기능 바이패스를 해결 하기 위한 Microsoft 지침
Q: 필자는 VMWare ESXi 운영 체제를 사용 합니다. 영향을 받습니까?
A. RM에 대한 문의는
Grub2-set-default 보안 취약점
에 대 한 VMware 응답
Q: 이 취약점을 해결 하려면 어떻게 해야 합니까?
A: GRUB 패치-Linux 운영 체제 공급 업체의 권장 사항에 따라 업데이트 된 GRUB 바이너리 또는 경우에 따라 커널 업데이트도 롤아웃 될 것으로 예상 됩니다. Linux 배포 공급 업체의 게시 된 권장 사항을 따라 해당 패키지를 적절 한 순서로 업데이트 하 여 Linux 배포 공급 업체에서 제공 하는 최신 버전으로 구성 하는 것이 좋습니다.
Q: Linux를 실행 하 고 있습니다. 시스템에서 보안 부팅이 활성화 되어 있는지 어떻게 알 수 있습니까?
A: 시스템의 보안 부팅 상태를 확인 하려면 다음 OS 명령을 사용 합니다.
UEFI 부팅이 비활성화 되어 있습니다. 보안 부팅이 비활성화 되어 있습니다.
# mokutil--sb-state
EFI 변수는이 시스템에서 지원 되지 않습니다.
UEFI 부팅이 활성화 되어 있습니다. 보안 부팅이 비활성화 되어 있습니다.
# mokutil--sb-상태
SecureBoot 비활성화
보안 부팅이 활성화 되어 있습니다.
# mokutil--sb-상태
SecureBoot 활성화
/Q Linux 배포 권장 사항에 따라 패치를 설치 했지만 시스템이 더 이상 부팅 되지 않습니다.
A: Linux 배포 공급 업체의 업데이트를 적용 한 후에 보안 부팅에 실패 하는 경우 다음 옵션 중 하나를 사용 하 여 복구 하십시오.
- DVD을 복구 하 고 이전 버전의 shim, grub2-set-default 및 커널 재설치를 시도 합니다.
- BIOS .dbx 데이터베이스를 출하 시 기본값으로 재설정 하 고 다음 절차를 사용 하 여 모든 .dbx 적용 된 업데이트 (OS 벤더 또는 기타 수단)를 제거 합니다.
1. BIOS 설정 (F2)을 입력
합니다. "System Security"
3을 선택 합니다. "보안 부팅 정책"을 "Custom" 4로 설정
합니다. "보안 부팅 사용자 지정 정책 설정"
5를 선택 합니다. "금지 서명 데이터베이스 (.dbx)"
6을 선택 합니다. "기본 금지 된 서명 데이터베이스 복원"-> "Yes"-> "OK"
7을 선택 합니다. "보안 부팅 정책"을 "Standard" 8로 설정
합니다. 저장하고 종료합니다.
경고: .Dbx 데이터베이스가 출하 시 기본값으로 재설정 되 면 시스템에 더 이상 패치가 적용 되지 않으며 나중에 업데이트에서 재구성 된 다른 모든 취약점에 취약 합니다.
/Q Dell 서버를 구성 하 여 Secure Boot 공인 서명 데이터베이스 (db)에서 공용 UEFI CA 인증서를 사용 하지 않도록 합니다. Dell 서버가 여전히 GRUB2-SET-DEFAULT 공격을 받을 수 있습니까?
A: 아니요 .이 작업을 수행 하면 UEFI 보안 부팅 사용자 지정 기능이 구현 됩니다. 시스템은 현재 알려진 취약점 (
cve-2020-14372, cve-2020-25632, cve-2020-25647, cve-2020-27749, cve -2020-27779, cve-2021-20225, cve-2021-20233, cve-2020-10713, cve-2020-14308, cve-2020-14309, cve-
2020-14310)에 더 이상 영향을 받지 않습니다
. 서버의 보안 부팅 인증 서명 데이터베이스 (db)에 있는 항목을 어떻게 확인할 수 있습니까?
A:
여기에서이 문서를 검토 하십시오. 액세스 제어를 구성 하는 방법에 따라 RACADM, WS MAN, WINRM, Redfish 및 BIOS F2 설정을 통해이 작업을 수행할 수 있습니다.
추가 참조:
GRUB2-SET-DEFAULT 취약성에 대 한 자세한 내용은
PowerEdge 서버 Dell EMC 을 참조 하십시오. GRUB2-SET-DEFAULT 취약점-"BootHole"에 대 한 추가 정보