CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
คําถามที่ถามบ่อย:
ถาม: แพลตฟอร์มใดบ้างที่ได้รับผลกระทบ
A: เซิร์ฟเวอร์ Dell PowerEdge และแพลตฟอร์มที่มีเลเวอเรจที่เปิดใช้งาน UEFI Secure Boot จะได้รับผลกระทบ เดลล์แนะนําให้ลูกค้าตรวจสอบคําแนะนําของผู้ให้บริการระบบปฏิบัติการสําหรับข้อมูลเพิ่มเติมรวมถึงการระบุที่เหมาะสมและมาตรการบรรเทาเพิ่มเติม
ลูกค้าควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและป้องกันการเข้าถึงอุปกรณ์ทางกายภาพโดยไม่ได้รับอนุญาต ลูกค้ายังสามารถใช้มาตรการต่อไปนี้เพื่อป้องกันตัวเองจากการโจมตีทางกายภาพ
- ตั้งค่ารหัสผ่านผู้ดูแลระบบ BIOS เพื่อป้องกันการเปลี่ยนแปลงการกําหนดค่าการตั้งค่า BIOS เช่น อุปกรณ์การเริ่มระบบ และโหมดการเริ่มระบบแบบปลอดภัย
- กําหนดการตั้งค่าการเริ่มระบบเพื่ออนุญาตให้เริ่มระบบไปยังอุปกรณ์การเริ่มระบบภายในเท่านั้น
ถาม: ฉันใช้ระบบปฏิบัติการ Windows ฉันได้รับผลกระทบหรือไม่
A: ใช่ ระบบปฏิบัติการ Windows ได้รับผลกระทบ นักแสดงที่เป็นอันตรายที่มีการเข้าถึงทางกายภาพไปยังแพลตฟอร์มหรือสิทธิ์ผู้ดูแลระบบระบบปฏิบัติการอาจโหลดไบนารี GRUB UEFI ที่มีความเสี่ยงและมัลแวร์เวลาบูต บ่งถึง:
ADV200011 - คู่มือการอัปเดตความปลอดภัย - Microsoft - คําแนะนํา Microsoft สําหรับการกําหนดที่อยู่ข้ามคุณลักษณะความปลอดภัยใน GRUB
ถาม: ฉัน ใช้ VMWare ระบบปฏิบัติการ ESXi. ฉันได้รับผลกระทบหรือไม่
เป็น. บ่งถึง:
การตอบสนอง VMware ต่อช่องโหว่ด้านความปลอดภัยของ GRUB2
ถาม: ฉันต้องทําอย่างไรเพื่อจัดการกับช่องโหว่นี้
A: แพทช์ GRUB - เป็นส่วนหนึ่งของคําแนะนําของผู้ขายระบบปฏิบัติการ Linux พวกเขาคาดว่าจะเปิดตัวไบนารี GRUB ที่อัปเดตหรือในบางกรณีการอัปเดตเคอร์เนลเช่นกัน เราขอแนะนําให้คุณทําตามคําแนะนําที่เผยแพร่ของผู้จําหน่ายการกระจาย Linux เพื่ออัปเดตแพ็คเกจที่ได้รับผลกระทบตามลําดับที่เหมาะสมเป็นเวอร์ชันล่าสุดที่จัดทําโดยผู้ขายจัดจําหน่าย
Linux
ถาม: ฉันใช้ลินุกซ์ ฉันจะทราบได้อย่างไรว่าฉันสามารถเปิดใช้งานการบูตแบบปลอดภัยบนระบบของฉันได้หรือไม่
A: ในการตรวจสอบสถานะการบูตที่ปลอดภัยของระบบของคุณให้ใช้คําสั่งระบบปฏิบัติการต่อไปนี้:
การเริ่มระบบ UEFI ถูกปิดใช้งาน การเริ่มระบบแบบปลอดภัยถูกปิดใช้งาน:
# ไม่สนับสนุนตัวแปร EFI แบบ sokutil --sb-state
บนระบบนี้
การเริ่มระบบ UEFI ถูกเปิดใช้งาน การเริ่มระบบแบบปลอดภัยถูกปิดใช้งาน:
# mokutil -- sb รัฐ
SecureBoot พิการ
เปิดใช้งานการบูตแบบปลอดภัย:
# mokutil -- เปิดใช้งาน
SecureBoot ของรัฐ sb
ถาม: ฉันติดตั้งแพทช์ตามคําแนะนําการกระจาย Linux แต่ระบบของฉันไม่ได้บู๊ตอีกต่อไป
เป็น: หาก Secure Boot ล้มเหลวหลังจากใช้การอัปเดตของผู้จําหน่ายการแจกจ่าย Linux ให้ใช้หนึ่งในตัวเลือกต่อไปนี้เพื่อกู้คืน:
- บูตไปยังดีวีดีกู้ภัยและพยายามที่จะติดตั้งรุ่นก่อนหน้าของชิม grub2 และเคอร์เนล
- รีเซ็ตฐานข้อมูล BIOS dbx เป็นค่าเริ่มต้นจากโรงงานและลบการอัปเดตที่ใช้ dbx ใด ๆ (จากผู้จําหน่ายระบบปฏิบัติการหรือวิธีอื่น) โดยใช้ขั้นตอนต่อไปนี้:
1 เข้าสู่การติดตั้ง BIOS (F2)
2 เลือก "ความปลอดภัยของระบบ"
3. ตั้งค่า "นโยบายการบูตที่ปลอดภัย" เป็น "กําหนดเอง"
4 เลือก "การตั้งค่านโยบายแบบกําหนดเองสําหรับการบูตอย่างปลอดภัย"
5. เลือก "ฐานข้อมูลลายเซ็นต้องห้าม (dbx)"
6 เลือก "คืนค่าฐานข้อมูลลายเซ็นที่ต้องห้ามเริ่มต้น" -> "ใช่" -> "ตกลง"
7. ตั้งค่า "นโยบายการบูตที่ปลอดภัย" เป็น "มาตรฐาน"
8. บันทึกและออก
คำเตือน: เมื่อฐานข้อมูล dbx ของคุณถูกรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานระบบของคุณจะไม่ถูกแก้ไขอีกต่อไปและมีความเสี่ยงต่อสิ่งเหล่านี้และช่องโหว่อื่น ๆ ที่แก้ไขได้ในภายหลัง
ถาม: ฉันได้กําหนดค่าเซิร์ฟเวอร์ Dell ของฉันเพื่อที่ว่าจะไม่ใช้ใบรับรอง UEFI CA สาธารณะในฐานข้อมูลลายเซ็นที่ได้รับอนุญาตสําหรับการบูตแบบปลอดภัย (db) เซิร์ฟเวอร์ Dell ของฉันยังคงไวต่อการโจมตี GRUB2 หรือไม่?
A: ไม่ เมื่อคุณทําสิ่งนี้แล้ว คุณจะใช้คุณลักษณะ UEFI Secure Boot Customization และระบบของคุณจะไม่อ่อนไหวต่อช่องโหว่ที่รู้จักในปัจจุบันอีกต่อไป
(CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 และCVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-1430814310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: ฉันจะดูสิ่งที่อยู่ในฐานข้อมูลลายเซ็นที่ได้รับอนุญาตสําหรับการบูตที่ปลอดภัย (db) ของเซิร์ฟเวอร์ของฉันได้อย่างไร
A: โปรดตรวจทาน
เอกสารนี้ที่นี่ คุณสามารถทําได้ผ่าน RACADM, WS-MAN, WINRM, Redfish และ BIOS F2 Setup ขึ้นอยู่กับว่าคุณกําหนดค่าการควบคุมการเข้าถึงอย่างไร
การอ้างอิงเพิ่มเติม:
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ GRUB2 โปรดดูที่เซิร์ฟเวอร์
Dell EMC PowerEdge: ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ GRUB2 – "BootHole"