CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Sık Sorulan Sorular:
/Q
Hangi modeller etkileniyor?C: UEFı güvenli önyüklemesi etkin olan Dell PowerEdge sunucuları ve kullanılan platformları etkilenir. Dell, müşterilerin, uygun tanımlama ve ek hafifletme ölçüleri gibi daha fazla bilgi için Işletim sistemi sağlayıcılarının Danışma belgelerini incelenmesini önerir.
Müşteri, en iyi güvenlik uygulamalarını izlemelidir ve aygıtlara yetkisiz fiziksel erişim yapılmasını önler. Müşteri fiziksel saldırılardan kendilerini daha fazla korumak için aşağıdaki önlemleri de alabilir.
- Önyükleme aygıtı ve güvenli önyükleme modu gibi BIOS kurulum yapılandırmasının değiştirilmesini önlemek için BIOS yönetici parolasını ayarlayın.
- Önyükleme ayarlarını yalnızca dahili önyükleme aygıtına önyükleme yapılmasına izin verecek şekilde yapılandırın.
/Q Bir Windows Işletim sistemi kullandım. Etkilenmem gerekiyor mu?
A: Evet. Windows Işletim sistemleri etkilenir. Platforma veya işletim sistemi yönetici ayrıcalıklarına fiziksel erişimi olan kötü niyetli bir aktör, güvenlik açığından etkilenen bir GRUB UEFı ikili ve önyükleme zamanı kötü amaçlı yazılım yükleyebilir. Şuraya başvurun:
ADV200011-güvenlik güncelleştirmesi Kılavuzu-Microsoft-GRUB
'de güvenlik özelliği atlama Torduzü adresleme için Microsoft Kılavuzu
S: VMWare ESXi Işletim sistemini kullandım. Etkilenmem gerekiyor mu?
A. Şuraya başvurun:
GRUB2 güvenlik açığına
VMware yanıtı
S: Bu güvenlik açığını gidermek için ne yapmam gerekiyor?
A: GRUB yaması-Linux Işletim sistemi satıcılarının liderlerinin bir parçası olarak, güncellenmiş GRUB ikililerini veya bazı durum çekirdek güncellemelerini de yerine döndürmeleri beklenir. Etkilenen paketleri, uygun sırayla, Linux dağıtım satıcısı tarafından sağlanan en son sürümlere güncellemek için, Linux dağıtım satıcılarının yayınlanan önerilerini takip etme konusunda teşvik ediyoruz.
S: Linux çalıştırıyorum. Sistemimde güvenli önyükleme 'nin etkin olup olmadığını nasıl anlarım?
A: Sisteminizin güvenli önyükleme durumunu doğrulamak için aşağıdaki OS komutunu kullanın:
UEFı önyüklemesi devre dışıdır; Güvenli önyükleme devre dışıdır:
# mokutil--SB-State
EFI değişkenleri bu sistemde desteklenmez
UEFı önyüklemesi etkin; Güvenli önyükleme devre dışıdır:
# mokutil--SB-durum
SecureBoot devre dışı
Güvenli önyükleme etkin:
# mokutil--SB-State
SecureBoot etkin
/Q Linux dağıtım Danışma belgelerini takip eden yamaları kurdum ancak sistemim artık önyüklenemez.
A: Linux dağıtım satıcısının güncelleştirmelerini uyguladıktan sonra güvenli önyükleme başarısız olursa, kurtarmak için aşağıdaki seçeneklerden birini kullanın:
- Bir kurtarma DVD 'sine önyükleme yapın ve dolgunun, GRUB2 ve çekirdeğin önceki sürümünü yeniden yüklemeyi deneyin.
- BIOS dbx veritabanını fabrika varsayılan değerine sıfırlayın ve aşağıdaki prosedürü kullanarak dbx 'nin uyguladığı güncellemeleri (işletim sistemi satıcısı veya diğer yollardan biri) çıkarın:
1. BIOS kurulumuna girin (F2)
2. "Sistem güvenliği"
3 ' ü seçin. "Güvenli önyükleme Politikası" nı "özel" 4 ' e ayarlayın
. "Güvenli önyükleme özel politikası ayarları" 5 öğesini seçin
. "Yasak Imza veritabanı (dbx)" 6 öğesini seçin
. "Varsayılan yasak Imza veritabanını geri yükle"-> "Evet"-> "Tamam"
7 öğesini seçin. "Güvenli önyükleme Politikası" nı "standart" 8 olarak ayarlayın
. Kaydedin ve Çıkın
Uyarı: Dbx veritabanınız bir seferde fabrika varsayılanına sıfırlanırsa, sisteminiz artık düzeltme eki alınmaz ve daha sonraki güncelleştirmelerde düzeltilen bu ve diğer tüm açıklara karşı savunmasızdır.
/Q Güvenli önyükleme yetkili Imza veritabanında (DB) genel UEFı CA sertifikasını kullanmayacağı için Dell Sunucumu yapılandırdım. Dell sunucum GRUB2 saldırılarına karşı hala açıktır mi?
A: Hayır, bunu yaptıktan sonra UEFI güvenli önyükleme özelleştirme özelliğini uyguladınız. sisteminiz artık bilinen güvenlik açıklarına maruz kalmazsa (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ve
CVE -2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707)
Q: Sunucumun güvenli önyükleme yetkili Imza veritabanından (DB) neler olduğunu nasıl görüntüleyebilirim?
A: Lütfen bu belgeyi
buradagözden geçirin. Bunu, erişim denetimini nasıl yapılandırdığınıza bağlı olarak, RACADM, WS-MAN, WINRM, Redbalık ve BIOS F2 kurulumu aracılığıyla yapabilirsiniz.
Ek Referanslar:
GRUB2 güvenlik açıkları hakkında daha fazla bilgi için
Dell EMC PowerEdge sunucuları 'na bakın: GRUB2 güvenlik açığıyla Ilgili ek bilgiler – "BootHole"