CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Veelgestelde vragen:
/Q
Op welke modellen is dit van invloed?A: Dell PowerEdge servers en de platforms die UEFI beveiligd opstarten zijn ingeschakeld, worden getroffen. Dell adviseert klanten hun adviezen van de provider van het besturingssysteem te bestuderen voor verdere informatie, met inbegrip van passende identificatie en aanvullende beperkende maatregelen.
De klant dient de best practices voor beveiliging te volgen en te voorkomen dat fysieke toegang tot apparaten wordt toegestaan. De klant kan ook de volgende maatregelen treffen ter bescherming tegen fysieke aanvallen.
- Stel het BIOS-admin-wachtwoord in om wijziging van de configuratie van de BIOS-Setup, zoals het opstartapparaat en de modus voor veilig opstarten te voorkomen.
- Configureer de opstartinstellingen zodanig dat het opstarten van het interne opstartapparaat alleen wordt toegestaan.
/Q Ik gebruik een Windows besturingssysteem. Heb ik van invloed?
A: Ja. Windows besturingssystemen worden getroffen. Een schadelijke actor die fysieke toegang heeft tot het platform of beheerdersrechten van het besturingssysteem, kan een kwetsbare GRUB laden UEFI binaire en opstarttijd malware. Raadpleeg de
ADV200011-beveiligings update handleiding-Microsoft Microsoft richtlijnen voor het omzeilen van beveiligingsfuncties overslaan in grub
Q: Ik gebruik VMWare ESXi-besturingssysteem. Heb ik van invloed?
A. Raadpleeg de
VMware-respons op het grub2-beveiligingsprobleem
Q: Wat moet ik doen om dit beveiligingslek op te lossen?
A: GRUB-patch-als onderdeel van Advisory van Linux besturingssysteem, zullen ze naar verwachting bijgewerkte grub binaire bestanden of in sommige gevallen ook kernel updates zullen uitrollen. We raden u aan de gepubliceerde aanbevelingen van de Linux distributie leveranciers te volgen om de betreffende pakketten in de juiste volgorde te updaten naar de nieuwste versies die worden geleverd door de leverancier van de Linux distributie.
Q: Ik gebruik Linux. Hoe weet ik of Secure boot (beveiligd opstarten) op mijn systeem is ingeschakeld?
A: Als u de status van uw systeem wilt controleren, gebruikt u de volgende opdracht van het besturingssysteem:
UEFI boot is uitgeschakeld. Beveiligd opstarten is uitgeschakeld:
# mokutil--EFI-variabelen voor SB-status
worden niet ondersteund op dit systeem
UEFI boot (opstarten) is ingeschakeld. Beveiligd opstarten is uitgeschakeld:
# mokutil--SB-status
SecureBoot uitgeschakeld
Secure boot (beveiligd opstarten) is ingeschakeld:
# mokutil--SB-State
SecureBoot ingeschakeld
/Q Ik heb de patches geïnstalleerd die volgen op de Linux Distribution Advisor, maar mijn systeem wordt niet meer opgestart.
A: Als het veilig opstarten is verbroken nadat u de updates van de Linux distributie leverancier hebt toegepast, gebruikt u een van de volgende opties om te herstellen:
- Start de computer op vanaf een hulpverlenings DVD en probeer de vorige versie van Shim, grub2 en kernel opnieuw te installeren.
- Stel de BIOS dbx-database opnieuw in op de standaard fabrieks waarde en verwijder alle door dbx toegepaste updates (van de OS-leverancier of andere middelen) met behulp van de volgende procedure:
1. Voer de BIOS-instellingen in (F2)
2. Selecteer "systeembeveiliging"
3. Stel "Secure boot Policy" in op Custom "
4. Selecteer "aangepaste opstartinstellingen voor aangepast beleid"
5. Selecteer "verboden signature database (dbx)"
6. Selecteer "herstellen standaard verboden handtekening-database"-> "ja"-> "OK"
7. Stel "Secure boot Policy" in op "Standard"
8. Sla de instelling op en sluit af
Waarschuwing: Zodra uw dbx-database opnieuw is ingesteld op de standaardfabrieksinstellingen, wordt uw systeem niet meer gerepareerd en is deze kwetsbaar voor deze problemen en eventuele andere beveiligingslekken die zijn opgelost in latere updates.
/Q Ik heb mijn Dell server geconfigureerd, zodat deze het CA-certificaat van de openbare UEFI niet gebruikt in de geautoriseerde handtekeningen database (DB). Is mijn Dell-server nog steeds vatbaar voor GRUB2 aanvallen?
A: Nee, als u dit hebt gedaan, hebt u de functie voor het aanpassen van de UEFI veilig opstarten geïmplementeerd. en uw systeem is niet meer vatbaar voor de bekende beveiligingslekken (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 en
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707)
Q: Hoe kan ik zien wat er in de geverifieerde handtekening van de beveiligde boot-database van mijn server (DB) staat?
A: Neem dit document
hierdoor. U kunt dit doen via RACADM, WS-MAN, WINRM, Redfish en BIOS F2 Setup, afhankelijk van de configuratie van toegangsbeheer.
Aanvullende verwijzingen:
Meer informatie over beveiligingslekken in GRUB2 vindt u in
Dell EMC PowerEdge servers: Aanvullende informatie over het GRUB2-beveiligingslek – "BootHole"