CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Perguntas frequentes:
P:
Quais modelos são afetados?R: Dell servidores PowerEdge e as plataformas usadas com UEFI inicialização segura habilitada são afetadas. A Dell recomenda que os clientes analisem os conselhos do provedor do sistema operacional para obter mais informações, inclusive a identificação apropriada e medidas adicionais de mitigação.
O cliente deve seguir as práticas recomendadas de segurança e impedir o acesso físico não autorizado aos dispositivos. O cliente também pode tomar as medidas a seguir para se proteger ainda mais dos ataques físicos.
- Defina a senha de administrador do BIOS para impedir a alteração da configuração do BIOS, como o dispositivo de inicialização e o modo de inicialização segura.
- Defina as configurações de inicialização para permitir a inicialização somente para o dispositivo de inicialização interna.
P: Eu uso um sistema operacional Windows. Eu sou afetado?
A: Sim. Os sistemas operacionais Windows são afetados. Um ator mal-intencionado que tem acesso físico à plataforma, ou privilégios de administrador do sistema operacional, pode carregar uma UEFI GRUB vulnerável e um malware de tempo de inicialização. Consulte: "
Guia de atualização de segurança do ADV200011-Microsoft-Microsoft orientação para abordar o bypass do recurso de segurança no grub
P: Eu uso o VMWare ESXi o sistema operacional. Eu sou afetado?
A. Consulte: "
Resposta VMware à vulnerabilidade
de segurança do grub2
P: O que eu preciso fazer para abordar essa vulnerabilidade?
A: Patch GRUB-como parte dos conselhos dos fornecedores do sistema operacional Linux, espera-se que o saia dos binários GRUB atualizados ou, em alguns casos, as atualizações do kernel também. Incentivamos você a seguir as recomendações publicadas dos fornecedores de distribuição Linux para atualizar os pacotes afetados, na ordem adequada, para as versões mais recentes fornecidas pelo fornecedor de distribuição Linux.
P: Estou em execução Linux. Como posso saber se tenho inicialização segura habilitada no meu sistema?
A: Para verificar o status da inicialização segura do seu sistema, use o seguinte comando do sistema operacional:
A inicialização UEFI está desativada; A inicialização segura está desativada:
as variáveis de EFI no estado # mokutil--SB
não são compatíveis com este sistema
UEFI inicialização está ativada; A inicialização segura está desativada:
# mokutil--SB-State
SecureBoot desativado
A inicialização segura está ativada:
# mokutil--SB-State
SecureBoot ativado
P: Instalei os patches seguindo os Linux conselhos de distribuição, mas o sistema não é mais inicializado.
A: Se a inicialização segura falhar depois de aplicar as atualizações do fornecedor de distribuição Linux, use uma das seguintes opções para recuperar:
- Inicialize em uma DVD de resgate e Tente reinstalar a versão anterior do Shim, Grub2 e kernel.
- Redefina o banco de dados do BIOS dbx para o valor padrão de fábrica e remova quaisquer atualizações aplicadas no dbx (seja do fornecedor do sistema operacional ou outros meios) usando o seguinte procedimento:
1. Entre na configuração do BIOS (F2)
2. Selecione "segurança do sistema"
3. Defina "política de inicialização segura" como "personalizada"
4. Selecione "configurações de política personalizada de inicialização segura"
5. Selecione "Signature Database (dbx)"
6. Selecione "restaurar o banco de dados de assinatura proibida padrão"-> "Sim" — > "OK"
7. Defina "política de inicialização segura" como "padrão"
8. Salve e saia
Advertência: Uma vez que seu banco de dados dbx seja redefinido para o padrão de fábrica, seu sistema não será mais corrigido, e será vulnerável a eles e quaisquer outras vulnerabilidades, corrigidos em atualizações posteriores.
P: Configurei meu Dell Server para que ele não use o certificado de CA pública UEFI no banco de dados de assinatura autorizada de inicialização segura (DB). Meu servidor de Dell ainda é suscetível a ataques GRUB2?
A: Não, depois de fazer isso, você terá implementado o UEFI recurso de personalização de inicialização segura, e o seu sistema não está mais suscetível às vulnerabilidades atualmente conhecidas (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ,
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE- 2020-15707)
Q: Como posso ver o que está no banco de dados de assinaturas autorizadas de inicialização segura (DB) do meu servidor?
A: Leia este documento
aqui. Você pode fazer isso por meio de configuração RACADM, WS-MAN, WINRM, Redfish e BIOS F2, dependendo de como você configurou o controle de acesso.
Referências adicionais:
Para obter informações adicionais sobre as vulnerabilidades do GRUB2, consulte
Dell EMC servidores de PowerEdge: Informações adicionais sobre a vulnerabilidade do GRUB2 – "BootHole"