Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000184338

Dell PowerEdge-servrar: Ytterligare information om säkerhets problem i mars 2021 (GRUB)

Summary: Säkerhets problem i GRUB (Grand Unified start program) kan tillåta säker start med förbikoppling.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Security Article Type

Security KB

CVE Identifier

CVE-2020-14372    CVE-2020-25632    CVE-2020-25647    CVE-2020-27749    CVE-2020-27779
CVE-2021-20225    CVE-2021-20233

Issue Summary

Berörda produkter:        
Dell PowerEdge servrar och utnyttjade plattformar

Details

Läs i         
Operativ Systems leverantörens rekommendationer finns på följande Dell säkerhets meddelanden. Se KB-artikel 183699:  DSN-2021-002 Dell svar på meddelandet 2, 2021 grub2 sårbarheter

Recommendations

Vanliga frågor och svar:        

/Q Vilka modeller berörs?S: Dell PowerEdge servrar och utnyttjade plattformar som har UEFI säker start påverkas. Dell rekommenderar att kunder granskar sina rådgivares rekommendationer för att få mer information, inklusive lämplig identifiering och ytterligare åtgärder för att begränsa åtgärderna.
Kunden ska följa säkerhets rekommendationer och förhindra obehörig fysisk åtkomst till enheter. Kunden kan även vidta följande åtgärder för att ytterligare skydda sig från fysiska attacker.
  1. Ange lösen ord för BIOS-administratören för att förhindra ändringar av konfigurations konfigurationen för BIOS, t. ex. Boot Device och Secure Boot mode.
  2. Konfigurera Start Inställningar så att endast den interna startenheten kan startas.
/Q Jag använder ett Windows operativ system. Är jag påslagen?
A: Ja. Windows operativ system påverkas. En illasinnad aktör som har fysisk till gång till plattformen, eller OS administrators privilegier, kan läsa in en sårbar GRUB UEFI binär-och start tid. Mer information finns i  ADV200011-säkerhets uppdaterings guide-Microsoft-Microsoft vägledning för adresserings säkerhetsfunktioner förbigå i grub

Q: Jag använder VMWare ESXi operativ system. Är jag påslagen?
A. Mer information finns i VMwares svar på grub2 säkerhets risk

Q: Vad behöver jag för att lösa problemet?
A: GRUB patch-som en del av Linux-leverantörers rådgivare förväntas att de ska lyfta ut uppdaterade GRUB-binärfiler eller i vissa fall även kernel-uppdateringar. Vi rekommenderar att du följer de publicerade rekommendationerna för Linux distributions leverantörer för att uppdatera de berörda paketen, i rätt ordning, till de senaste versionerna som tillhandahålls av Linux-distributions leverantören.

Q: Jag kör Linux. Hur vet jag om jag har aktiverat säker start på mitt system?
A: Använd följande OS-kommando för att verifiera systemets säkra start status:     

UEFI boot (start) är inaktiverat. Säker start är inaktiverat:     
# mokutil--SB-tillstånds-
EFI-variabler stöds inte på det här systemet

UEFI boot (start) är aktive rad. Säker start är inaktiverat:     
# mokutil--SB-State-
SecureBoot inaktiverat

Säker start är aktiverat:     
# mokutil--SB-State
SecureBoot aktive rad

/Q Jag har installerat korrigeringsfilerna som följer Linux distributions rådgivare, men systemet startar inte längre.
A: Om säker start Miss lyckas när du har tillämpat uppdateringarna för Linux-distributions leverantören, Använd ett av följande alternativ för att återställa:     
  • Starta till en räddnings DVD och försök att installera om den tidigare versionen av shim, grub2 och kernel.
  • Återställ BIOS DBX-databasen till fabriks inställningarna och ta bort alla dbx-uppdateringar (antingen från OS-leverantören eller andra metoder) med hjälp av följande procedur:
1.    Ange BIOS-inställningar (F2)
2.    Välj "systemsäkerhet"
3.    Ställ in "säker start policy" till "Custom"
4.    Välj "Custom Boot Policy Settings (säker start"
5.    Välj "förbjudet Signature Database (DBX)"
6.    Välj "Restore default Signature Database"-> "Yes"-> "OK"
7.    Ange "Secure Boot policy" till "standard"
8.    Spara och avsluta 

Varning! När din DBX-databas återställs till fabriks inställningarna är systemet inte längre korrigerat och är sårbart för dessa och eventuella andra problem som åtgärdas i senare uppdateringar.

/Q Jag har konfigurerat min Dell server så att den inte använder den offentliga UEFI CA-certifikat i databasen för behörig start tillåten signatur (dB). Är min Dell server fortfarande mottaglig för GRUB2-attacker?
A: Nej, när du har gjort det har du implementerat funktionen för anpassning av UEFI säker start. och ditt system är inte längre mottagligt för kända säkerhets problem (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 och CVE-2020-10713, CVE-2020-14308, CVE -2020-14309, CVE-2020-14310, CVE-2020-14311 och CVE-2020-15705,

Hur kan jag visa vad som är i den behöriga databasen för behörig start från en server (dB)?
A: Läs det här dokumentet här. Det kan du göra via RACADM, WS-MAN, WINRM, Redfish och BIOS F2-konfigurationen, beroende på hur du har konfigurerat åtkomst kontroll. 


Mer information:     
Mer information om GRUB2-sårbarheter finns i Dell EMC PowerEdge-servrar: Ytterligare information om GRUB2-problemet – "BootHole"

Legal Information

Article Properties

Affected Product

PowerEdge, Operating Systems

Product

Servers, Product Security Information

Last Published Date

30 Mar 2021

Version

2

Article Type

Security KB

Back to Top