CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Vanliga frågor och svar:
/Q
Vilka modeller berörs?S: Dell PowerEdge servrar och utnyttjade plattformar som har UEFI säker start påverkas. Dell rekommenderar att kunder granskar sina rådgivares rekommendationer för att få mer information, inklusive lämplig identifiering och ytterligare åtgärder för att begränsa åtgärderna.
Kunden ska följa säkerhets rekommendationer och förhindra obehörig fysisk åtkomst till enheter. Kunden kan även vidta följande åtgärder för att ytterligare skydda sig från fysiska attacker.
- Ange lösen ord för BIOS-administratören för att förhindra ändringar av konfigurations konfigurationen för BIOS, t. ex. Boot Device och Secure Boot mode.
- Konfigurera Start Inställningar så att endast den interna startenheten kan startas.
/Q Jag använder ett Windows operativ system. Är jag påslagen?
A: Ja. Windows operativ system påverkas. En illasinnad aktör som har fysisk till gång till plattformen, eller OS administrators privilegier, kan läsa in en sårbar GRUB UEFI binär-och start tid. Mer information finns i
ADV200011-säkerhets uppdaterings guide-Microsoft-Microsoft vägledning för adresserings säkerhetsfunktioner förbigå i grub
Q: Jag använder VMWare ESXi operativ system. Är jag påslagen?
A. Mer information finns i
VMwares svar på grub2 säkerhets risk
Q: Vad behöver jag för att lösa problemet?
A: GRUB patch-som en del av Linux-leverantörers rådgivare förväntas att de ska lyfta ut uppdaterade GRUB-binärfiler eller i vissa fall även kernel-uppdateringar. Vi rekommenderar att du följer de publicerade rekommendationerna för Linux distributions leverantörer för att uppdatera de berörda paketen, i rätt ordning, till de senaste versionerna som tillhandahålls av Linux-distributions leverantören.
Q: Jag kör Linux. Hur vet jag om jag har aktiverat säker start på mitt system?
A: Använd följande OS-kommando för att verifiera systemets säkra start status:
UEFI boot (start) är inaktiverat. Säker start är inaktiverat:
# mokutil--SB-tillstånds-
EFI-variabler stöds inte på det här systemet
UEFI boot (start) är aktive rad. Säker start är inaktiverat:
# mokutil--SB-State-
SecureBoot inaktiverat
Säker start är aktiverat:
# mokutil--SB-State
SecureBoot aktive rad
/Q Jag har installerat korrigeringsfilerna som följer Linux distributions rådgivare, men systemet startar inte längre.
A: Om säker start Miss lyckas när du har tillämpat uppdateringarna för Linux-distributions leverantören, Använd ett av följande alternativ för att återställa:
- Starta till en räddnings DVD och försök att installera om den tidigare versionen av shim, grub2 och kernel.
- Återställ BIOS DBX-databasen till fabriks inställningarna och ta bort alla dbx-uppdateringar (antingen från OS-leverantören eller andra metoder) med hjälp av följande procedur:
1. Ange BIOS-inställningar (F2)
2. Välj "systemsäkerhet"
3. Ställ in "säker start policy" till "Custom"
4. Välj "Custom Boot Policy Settings (säker start"
5. Välj "förbjudet Signature Database (DBX)"
6. Välj "Restore default Signature Database"-> "Yes"-> "OK"
7. Ange "Secure Boot policy" till "standard"
8. Spara och avsluta
Varning! När din DBX-databas återställs till fabriks inställningarna är systemet inte längre korrigerat och är sårbart för dessa och eventuella andra problem som åtgärdas i senare uppdateringar.
/Q Jag har konfigurerat min Dell server så att den inte använder den offentliga UEFI CA-certifikat i databasen för behörig start tillåten signatur (dB). Är min Dell server fortfarande mottaglig för GRUB2-attacker?
A: Nej, när du har gjort det har du implementerat funktionen för anpassning av UEFI säker start. och ditt system är inte längre mottagligt för kända säkerhets problem (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 och
CVE-2020-10713, CVE-2020-14308, CVE -2020-14309, CVE-2020-14310, CVE-2020-14311 och CVE-2020-15705,
Hur kan jag visa vad som är i den behöriga databasen för behörig start från en server (dB)?
A: Läs det här dokumentet
här. Det kan du göra via RACADM, WS-MAN, WINRM, Redfish och BIOS F2-konfigurationen, beroende på hur du har konfigurerat åtkomst kontroll.
Mer information:
Mer information om GRUB2-sårbarheter finns i
Dell EMC PowerEdge-servrar: Ytterligare information om GRUB2-problemet – "BootHole"