Dell PowerEdge 서버: 2021년 3월(GRUB) 취약성 공개에 대한 추가 정보
Summary: GRUB(Grand Unified Bootloader)의 취약점으로 인해 보안 부팅 우회가 허용될 수 있습니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
영향을 받는 제품:
Dell PowerEdge 서버 및 활용 플랫폼
Details
참고문헌:
운영 체제 공급업체의 권장 사항은 다음 Dell 보안 공지에서 확인할 수 있습니다. KB 문서 183699: DSN-2021-002 2021년 3월 2일 Grub2 취약성 공개에 대한 Dell의 대응
Recommendations
자주 묻는 질문:
큐: 어떤 플랫폼이 영향을 받습니까?
ᅡ: UEFI 보안 부팅이 활성화된 Dell PowerEdge 서버 및 활용 플랫폼이 영향을 받습니다. Dell은 고객이 해당 운영 체제 공급업체의 권장 사항을 검토하여 적절한 식별 및 추가 완화 조치를 포함한 추가 정보를 얻을 것을 권장합니다.
고객은 보안 모범 사례를 따르고 디바이스에 대한 무단 물리적 액세스를 방지해야 합니다. 고객은 물리적 공격으로부터 스스로를 보호하기 위해 다음과 같은 조치를 취할 수도 있습니다.
ᅡ: 예. Windows 운영 체제가 영향을 받습니다. 플랫폼에 물리적으로 액세스하거나 OS 관리자 권한을 가진 악의적인 행위자가 취약한 GRUB UEFI 바이너리 및 부팅 시간 멀웨어를 로드할 수 있습니다. 다음을 참조하십시오. ADV200011 - 보안 업데이트 가이드 - Microsoft - GRUB
의 보안 기능 우회 문제를 해결하기 위한 Microsoft 지침큐: VMware ESXi 운영 체제를 사용합니다. 저도 영향을 받습니까?
A. 아니요. 다음을 참조하십시오. GRUB2 보안 취약성
에 대한 VMware의 대응큐: 이 취약성을 해결하려면 어떻게 해야 합니까?
ᅡ: GRUB 패치 - Linux 운영 체제 공급업체 권장 사항의 일환으로 업데이트된 GRUB 바이너리를 롤아웃하거나 경우에 따라 커널 업데이트도 롤아웃할 것으로 예상됩니다. Linux 배포 공급업체가 게시한 권장 사항에 따라 영향을 받는 패키지를 Linux 배포 공급업체에서 제공하는 최신 버전으로 적절한 순서로 업데이트하는 것이 좋습니다.
큐: 저는 Linux를 실행하고 있습니다. 시스템에서 보안 부팅이 활성화되어 있는지 어떻게 알 수 있습니까?
ᅡ: 시스템의 보안 부팅 상태를 확인하려면 다음 OS 명령을 사용합니다.
UEFI 부팅이 비활성화되었습니다. 보안 부팅이 비활성화됨:
UEFI 부팅이 활성화되었습니다. 보안 부팅이 비활성화됨:
보안 부팅이 활성화됨:
큐: Linux 배포판 권장 사항에 따라 패치를 설치했지만 시스템이 더 이상 부팅되지 않습니다.
ᅡ: Linux 배포 공급업체의 업데이트를 적용한 후 보안 부팅이 실패하는 경우 다음 옵션 중 하나를 사용하여 복구합니다.
경고: dbx 데이터베이스가 공장 기본값으로 다시 설정되면 시스템은 더 이상 패치되지 않으며 이러한 취약성 및 기타 취약성에 취약하며 이후 업데이트에서 수정됩니다.
큐: 보안 부팅 인증 서명 데이터베이스(db)에서 공용 UEFI CA 인증서를 사용하지 않도록 Dell 서버를 구성했습니다. 사용 중인 Dell 서버가 여전히 GRUB2 공격에 취약합니까?
ᅡ: 아니요, 이 작업을 완료하면 UEFI 보안 부팅 사용자 지정 기능이 구현되며 시스템은 더 이상 현재 알려진 취약점(CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 및 CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707
)Q: 내 서버의 보안 부팅 인증 서명 데이터베이스(db)에 있는 내용을 보려면 어떻게 해야 합니까?
ᅡ: 여기에서 이 문서를 검토하십시오. 액세스 제어를 구성한 방법에 따라 RACADM, WS-MAN, WINRM, Redfish 및 BIOS F2 설정을 통해 이 작업을 수행할 수 있습니다.
추가 참조:
GRUB2 취약성에 대한 자세한 내용은 Dell EMC PowerEdge 서버: GRUB2 취약성 – "BootHole"에 대한 추가 정보
큐: 어떤 플랫폼이 영향을 받습니까?
ᅡ: UEFI 보안 부팅이 활성화된 Dell PowerEdge 서버 및 활용 플랫폼이 영향을 받습니다. Dell은 고객이 해당 운영 체제 공급업체의 권장 사항을 검토하여 적절한 식별 및 추가 완화 조치를 포함한 추가 정보를 얻을 것을 권장합니다.
고객은 보안 모범 사례를 따르고 디바이스에 대한 무단 물리적 액세스를 방지해야 합니다. 고객은 물리적 공격으로부터 스스로를 보호하기 위해 다음과 같은 조치를 취할 수도 있습니다.
- 부팅 디바이스 및 보안 부팅 모드와 같은 BIOS 설정 구성의 변경을 방지하기 위해 BIOS 관리자 암호를 설정합니다.
- 내부 부팅 디바이스로만 부팅할 수 있도록 부팅 설정을 구성합니다.
ᅡ: 예. Windows 운영 체제가 영향을 받습니다. 플랫폼에 물리적으로 액세스하거나 OS 관리자 권한을 가진 악의적인 행위자가 취약한 GRUB UEFI 바이너리 및 부팅 시간 멀웨어를 로드할 수 있습니다. 다음을 참조하십시오. ADV200011 - 보안 업데이트 가이드 - Microsoft - GRUB
의 보안 기능 우회 문제를 해결하기 위한 Microsoft 지침큐: VMware ESXi 운영 체제를 사용합니다. 저도 영향을 받습니까?
A. 아니요. 다음을 참조하십시오. GRUB2 보안 취약성
에 대한 VMware의 대응큐: 이 취약성을 해결하려면 어떻게 해야 합니까?
ᅡ: GRUB 패치 - Linux 운영 체제 공급업체 권장 사항의 일환으로 업데이트된 GRUB 바이너리를 롤아웃하거나 경우에 따라 커널 업데이트도 롤아웃할 것으로 예상됩니다. Linux 배포 공급업체가 게시한 권장 사항에 따라 영향을 받는 패키지를 Linux 배포 공급업체에서 제공하는 최신 버전으로 적절한 순서로 업데이트하는 것이 좋습니다.
큐: 저는 Linux를 실행하고 있습니다. 시스템에서 보안 부팅이 활성화되어 있는지 어떻게 알 수 있습니까?
ᅡ: 시스템의 보안 부팅 상태를 확인하려면 다음 OS 명령을 사용합니다.
UEFI 부팅이 비활성화되었습니다. 보안 부팅이 비활성화됨:
# mokutil --sb-state
EFI 변수는 이 시스템에서 지원되지 않습니다.
EFI 변수는 이 시스템에서 지원되지 않습니다.
UEFI 부팅이 활성화되었습니다. 보안 부팅이 비활성화됨:
# mokutil --sb-state
보안 부팅 비활성화됨
보안 부팅 비활성화됨
보안 부팅이 활성화됨:
# mokutil --sb-state
SecureBoot 활성화됨
SecureBoot 활성화됨
큐: Linux 배포판 권장 사항에 따라 패치를 설치했지만 시스템이 더 이상 부팅되지 않습니다.
ᅡ: Linux 배포 공급업체의 업데이트를 적용한 후 보안 부팅이 실패하는 경우 다음 옵션 중 하나를 사용하여 복구합니다.
- 복구 DVD로 부팅하고 이전 버전의 shim, grub2 및 커널을 다시 설치해 봅니다.
- BIOS dbx 데이터베이스를 출고 시 기본값으로 리셋하고 다음 절차를 따라 dbx 적용 업데이트(OS 공급업체 또는 기타 수단에서)를 모두 제거합니다.
1. BIOS 설정(F2)으로 들어갑니다
. 2. "시스템 보안"을
선택합니다. 3. "Secure Boot Policy"를 "Custom"
으로 설정합니다. 4. "Secure Boot Custom Policy Settings"
를 선택합니다. 5. "금지된 서명 데이터베이스(dbx)"
를 선택합니다. 6. "기본 금지 서명 데이터베이스 복원" -> "예" -> "확인"
을 선택합니다. 7. "Secure Boot Policy"를 "Standard"
로 설정합니다. 8. 저장 후 종료
. 2. "시스템 보안"을
선택합니다. 3. "Secure Boot Policy"를 "Custom"
으로 설정합니다. 4. "Secure Boot Custom Policy Settings"
를 선택합니다. 5. "금지된 서명 데이터베이스(dbx)"
를 선택합니다. 6. "기본 금지 서명 데이터베이스 복원" -> "예" -> "확인"
을 선택합니다. 7. "Secure Boot Policy"를 "Standard"
로 설정합니다. 8. 저장 후 종료
경고: dbx 데이터베이스가 공장 기본값으로 다시 설정되면 시스템은 더 이상 패치되지 않으며 이러한 취약성 및 기타 취약성에 취약하며 이후 업데이트에서 수정됩니다.
큐: 보안 부팅 인증 서명 데이터베이스(db)에서 공용 UEFI CA 인증서를 사용하지 않도록 Dell 서버를 구성했습니다. 사용 중인 Dell 서버가 여전히 GRUB2 공격에 취약합니까?
ᅡ: 아니요, 이 작업을 완료하면 UEFI 보안 부팅 사용자 지정 기능이 구현되며 시스템은 더 이상 현재 알려진 취약점(CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 및 CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707
)Q: 내 서버의 보안 부팅 인증 서명 데이터베이스(db)에 있는 내용을 보려면 어떻게 해야 합니까?
ᅡ: 여기에서 이 문서를 검토하십시오. 액세스 제어를 구성한 방법에 따라 RACADM, WS-MAN, WINRM, Redfish 및 BIOS F2 설정을 통해 이 작업을 수행할 수 있습니다.
추가 참조:
GRUB2 취약성에 대한 자세한 내용은 Dell EMC PowerEdge 서버: GRUB2 취약성 – "BootHole"에 대한 추가 정보
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.