Dell PowerEdge servers Aanvullende informatie met betrekking tot de informatie over het beveiligingslek in maart 2021 (GRUB)

Veelgestelde vragen:        

/Q Op welke modellen is dit van invloed?A: Dell PowerEdge servers en de platforms die UEFI beveiligd opstarten zijn ingeschakeld, worden getroffen. Dell adviseert klanten hun adviezen van de provider van het besturingssysteem te bestuderen voor verdere informatie, met inbegrip van passende identificatie en aanvullende beperkende maatregelen.
De klant dient de best practices voor beveiliging te volgen en te voorkomen dat fysieke toegang tot apparaten wordt toegestaan. De klant kan ook de volgende maatregelen treffen ter bescherming tegen fysieke aanvallen.

1. Stel het BIOS-admin-wachtwoord in om wijziging van de configuratie van de BIOS-Setup, zoals het opstartapparaat en de modus voor veilig opstarten te voorkomen.
2. Configureer de opstartinstellingen zodanig dat het opstarten van het interne opstartapparaat alleen wordt toegestaan.

/Q Ik gebruik een Windows besturingssysteem. Heb ik van invloed?
A: Ja. Windows besturingssystemen worden getroffen. Een schadelijke actor die fysieke toegang heeft tot het platform of beheerdersrechten van het besturingssysteem, kan een kwetsbare GRUB laden UEFI binaire en opstarttijd malware. Raadpleeg de  ADV200011-beveiligings update handleiding-Microsoft Microsoft richtlijnen voor het omzeilen van beveiligingsfuncties overslaan in grub

Q: Ik gebruik VMWare ESXi-besturingssysteem. Heb ik van invloed?
A. Raadpleeg de VMware-respons op het grub2-beveiligingsprobleem

Q: Wat moet ik doen om dit beveiligingslek op te lossen?
A: GRUB-patch-als onderdeel van Advisory van Linux besturingssysteem, zullen ze naar verwachting bijgewerkte grub binaire bestanden of in sommige gevallen ook kernel updates zullen uitrollen. We raden u aan de gepubliceerde aanbevelingen van de Linux distributie leveranciers te volgen om de betreffende pakketten in de juiste volgorde te updaten naar de nieuwste versies die worden geleverd door de leverancier van de Linux distributie.

Q: Ik gebruik Linux. Hoe weet ik of Secure boot (beveiligd opstarten) op mijn systeem is ingeschakeld?
A: Als u de status van uw systeem wilt controleren, gebruikt u de volgende opdracht van het besturingssysteem:     
/Q Ik heb de patches geïnstalleerd die volgen op de Linux Distribution Advisor, maar mijn systeem wordt niet meer opgestart.
A: Als het veilig opstarten is verbroken nadat u de updates van de Linux distributie leverancier hebt toegepast, gebruikt u een van de volgende opties om te herstellen:     

• Start de computer op vanaf een hulpverlenings DVD en probeer de vorige versie van Shim, grub2 en kernel opnieuw te installeren.
• Stel de BIOS dbx-database opnieuw in op de standaard fabrieks waarde en verwijder alle door dbx toegepaste updates (van de OS-leverancier of andere middelen) met behulp van de volgende procedure:

/Q Ik heb mijn Dell server geconfigureerd, zodat deze het CA-certificaat van de openbare UEFI niet gebruikt in de geautoriseerde handtekeningen database (DB). Is mijn Dell-server nog steeds vatbaar voor GRUB2 aanvallen?
A: Nee, als u dit hebt gedaan, hebt u de functie voor het aanpassen van de UEFI veilig opstarten geïmplementeerd. en uw systeem is niet meer vatbaar voor de bekende beveiligingslekken (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 en CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707)

Q: Hoe kan ik zien wat er in de geverifieerde handtekening van de beveiligde boot-database van mijn server (DB) staat?
A: Neem dit document hierdoor. U kunt dit doen via RACADM, WS-MAN, WINRM, Redfish en BIOS F2 Setup, afhankelijk van de configuratie van toegangsbeheer. 


Aanvullende verwijzingen:     
Meer informatie over beveiligingslekken in GRUB2 vindt u in Dell EMC PowerEdge servers: Aanvullende informatie over het GRUB2-beveiligingslek – "BootHole"