Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000184338

เซิร์ฟเวอร์ขับเคลื่อนของ Dell: ข้อมูลเพิ่มเติมเกี่ยวกับการเปิดเผยช่องโหว่ของเดือนมีนาคม 2021 (GRUB)

Summary: ช่องโหว่ใน GRUB (Grand Unified Bootloader) อาจอนุญาตให้ข้ามการบูตแบบปลอดภัย

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Security Article Type

Security KB

CVE Identifier

CVE-2020-14372    CVE-2020-25632    CVE-2020-25647    CVE-2020-27749    CVE-2020-27779
CVE-2021-20225    CVE-2021-20233

Issue Summary

ผลิตภัณฑ์ที่ได้รับผลประทบ        
เซิร์ฟเวอร์ Dell PowerEdge และแพลตฟอร์มที่มีเลเวอเรจ

Details

อ้างอิง:         
คําแนะนําของผู้ให้บริการระบบปฏิบัติการพบได้ในประกาศความปลอดภัยของ Dell ต่อไปนี้ อ้างอิงถึงบทความ KB 183699:  DSN-2021-002 การตอบสนองของ Dell ต่อการเปิดเผยช่องโหว่ Grub2 เมื่อวันที่ 2 มีนาคม 2021

Recommendations

คําถามที่ถามบ่อย:        

ถาม: แพลตฟอร์มใดบ้างที่ได้รับผลกระทบ
A: เซิร์ฟเวอร์ Dell PowerEdge และแพลตฟอร์มที่มีเลเวอเรจที่เปิดใช้งาน UEFI Secure Boot จะได้รับผลกระทบ เดลล์แนะนําให้ลูกค้าตรวจสอบคําแนะนําของผู้ให้บริการระบบปฏิบัติการสําหรับข้อมูลเพิ่มเติมรวมถึงการระบุที่เหมาะสมและมาตรการบรรเทาเพิ่มเติม
ลูกค้าควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและป้องกันการเข้าถึงอุปกรณ์ทางกายภาพโดยไม่ได้รับอนุญาต ลูกค้ายังสามารถใช้มาตรการต่อไปนี้เพื่อป้องกันตัวเองจากการโจมตีทางกายภาพ
  1. ตั้งค่ารหัสผ่านผู้ดูแลระบบ BIOS เพื่อป้องกันการเปลี่ยนแปลงการกําหนดค่าการตั้งค่า BIOS เช่น อุปกรณ์การเริ่มระบบ และโหมดการเริ่มระบบแบบปลอดภัย
  2. กําหนดการตั้งค่าการเริ่มระบบเพื่ออนุญาตให้เริ่มระบบไปยังอุปกรณ์การเริ่มระบบภายในเท่านั้น
ถาม: ฉันใช้ระบบปฏิบัติการ Windows ฉันได้รับผลกระทบหรือไม่
A: ใช่ ระบบปฏิบัติการ Windows ได้รับผลกระทบ นักแสดงที่เป็นอันตรายที่มีการเข้าถึงทางกายภาพไปยังแพลตฟอร์มหรือสิทธิ์ผู้ดูแลระบบระบบปฏิบัติการอาจโหลดไบนารี GRUB UEFI ที่มีความเสี่ยงและมัลแวร์เวลาบูต บ่งถึง:  ADV200011 - คู่มือการอัปเดตความปลอดภัย - Microsoft - คําแนะนํา Microsoft สําหรับการกําหนดที่อยู่ข้ามคุณลักษณะความปลอดภัยใน GRUB

ถาม: ฉัน ใช้ VMWare ระบบปฏิบัติการ ESXi. ฉันได้รับผลกระทบหรือไม่
เป็น. บ่งถึง: การตอบสนอง VMware ต่อช่องโหว่ด้านความปลอดภัยของ GRUB2

ถาม: ฉันต้องทําอย่างไรเพื่อจัดการกับช่องโหว่นี้
A: แพทช์ GRUB - เป็นส่วนหนึ่งของคําแนะนําของผู้ขายระบบปฏิบัติการ Linux พวกเขาคาดว่าจะเปิดตัวไบนารี GRUB ที่อัปเดตหรือในบางกรณีการอัปเดตเคอร์เนลเช่นกัน เราขอแนะนําให้คุณทําตามคําแนะนําที่เผยแพร่ของผู้จําหน่ายการกระจาย Linux เพื่ออัปเดตแพ็คเกจที่ได้รับผลกระทบตามลําดับที่เหมาะสมเป็นเวอร์ชันล่าสุดที่จัดทําโดยผู้ขายจัดจําหน่าย

Linux ถาม: ฉันใช้ลินุกซ์ ฉันจะทราบได้อย่างไรว่าฉันสามารถเปิดใช้งานการบูตแบบปลอดภัยบนระบบของฉันได้หรือไม่
A: ในการตรวจสอบสถานะการบูตที่ปลอดภัยของระบบของคุณให้ใช้คําสั่งระบบปฏิบัติการต่อไปนี้:     

การเริ่มระบบ UEFI ถูกปิดใช้งาน การเริ่มระบบแบบปลอดภัยถูกปิดใช้งาน:     
# ไม่สนับสนุนตัวแปร EFI แบบ sokutil --sb-state
บนระบบนี้

การเริ่มระบบ UEFI ถูกเปิดใช้งาน การเริ่มระบบแบบปลอดภัยถูกปิดใช้งาน:     
# mokutil -- sb รัฐ
SecureBoot พิการ

เปิดใช้งานการบูตแบบปลอดภัย:     
# mokutil -- เปิดใช้งาน
SecureBoot ของรัฐ sb

ถาม: ฉันติดตั้งแพทช์ตามคําแนะนําการกระจาย Linux แต่ระบบของฉันไม่ได้บู๊ตอีกต่อไป
เป็น: หาก Secure Boot ล้มเหลวหลังจากใช้การอัปเดตของผู้จําหน่ายการแจกจ่าย Linux ให้ใช้หนึ่งในตัวเลือกต่อไปนี้เพื่อกู้คืน:     
  • บูตไปยังดีวีดีกู้ภัยและพยายามที่จะติดตั้งรุ่นก่อนหน้าของชิม grub2 และเคอร์เนล
  • รีเซ็ตฐานข้อมูล BIOS dbx เป็นค่าเริ่มต้นจากโรงงานและลบการอัปเดตที่ใช้ dbx ใด ๆ (จากผู้จําหน่ายระบบปฏิบัติการหรือวิธีอื่น) โดยใช้ขั้นตอนต่อไปนี้:
1    เข้าสู่การติดตั้ง BIOS (F2)
2    เลือก "ความปลอดภัยของระบบ"
3.    ตั้งค่า "นโยบายการบูตที่ปลอดภัย" เป็น "กําหนดเอง"
4    เลือก "การตั้งค่านโยบายแบบกําหนดเองสําหรับการบูตอย่างปลอดภัย"
5.    เลือก "ฐานข้อมูลลายเซ็นต้องห้าม (dbx)"
6    เลือก "คืนค่าฐานข้อมูลลายเซ็นที่ต้องห้ามเริ่มต้น" -> "ใช่" -> "ตกลง"
7.    ตั้งค่า "นโยบายการบูตที่ปลอดภัย" เป็น "มาตรฐาน"
8.    บันทึกและออก 

คำเตือน: เมื่อฐานข้อมูล dbx ของคุณถูกรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานระบบของคุณจะไม่ถูกแก้ไขอีกต่อไปและมีความเสี่ยงต่อสิ่งเหล่านี้และช่องโหว่อื่น ๆ ที่แก้ไขได้ในภายหลัง

ถาม: ฉันได้กําหนดค่าเซิร์ฟเวอร์ Dell ของฉันเพื่อที่ว่าจะไม่ใช้ใบรับรอง UEFI CA สาธารณะในฐานข้อมูลลายเซ็นที่ได้รับอนุญาตสําหรับการบูตแบบปลอดภัย (db) เซิร์ฟเวอร์ Dell ของฉันยังคงไวต่อการโจมตี GRUB2 หรือไม่?
A: ไม่ เมื่อคุณทําสิ่งนี้แล้ว คุณจะใช้คุณลักษณะ UEFI Secure Boot Customization และระบบของคุณจะไม่อ่อนไหวต่อช่องโหว่ที่รู้จักในปัจจุบันอีกต่อไป(CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 และCVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-1430814310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )

Q: ฉันจะดูสิ่งที่อยู่ในฐานข้อมูลลายเซ็นที่ได้รับอนุญาตสําหรับการบูตที่ปลอดภัย (db) ของเซิร์ฟเวอร์ของฉันได้อย่างไร
A: โปรดตรวจทาน เอกสารนี้ที่นี่ คุณสามารถทําได้ผ่าน RACADM, WS-MAN, WINRM, Redfish และ BIOS F2 Setup ขึ้นอยู่กับว่าคุณกําหนดค่าการควบคุมการเข้าถึงอย่างไร 


การอ้างอิงเพิ่มเติม:     
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ GRUB2 โปรดดูที่เซิร์ฟเวอร์ Dell EMC PowerEdge: ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ GRUB2 – "BootHole"

Legal Information

Article Properties

Affected Product

PowerEdge, Operating Systems

Product

Servers, Product Security Information

Last Published Date

30 Mar 2021

Version

2

Article Type

Security KB

Back to Top