CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
よくあるお問い合わせ(FAQ):
Q:
影響を受けるモデルを教えてください。A:UEFI 安全起動が有効になっている PowerEdge サーバーと、その他のプラットフォームの Dell が影響を受けます。Dell では、適切な特定や追加の軽減措置など、詳細な情報をお客様のオペレーティングシステムプロバイダのアドバイザリに確認することをお勧めします。
お客様は、セキュリティのベストプラクティスに従い、デバイスへの許可されていない物理アクセスを防止する必要がありますまた、お客様は、物理的な攻撃からさらに保護するために、次の対策を講じることもできます。
- Bios の管理者パスワードを設定して、起動デバイス、セキュアブートモードなどの BIOS セットアップの設定が改ざんされないようにします。
- 内部起動デバイスの起動のみを許可するように起動設定を構成します。
Q:Windows オペレーティングシステムを使用しています。影響を受けていますか?
A: はい。Windows オペレーティングシステムが影響を受けます。プラットフォームまたは OS 管理者権限への物理的なアクセス権を持つ悪意のあるアクターは、脆弱な GRUB UEFI バイナリおよび起動時のマルウェアをロードする可能性があります。詳細については、「
ADV200011-Security Update Guide-Microsoft: GRUB
でのセキュリティ機能バイパスの対応のための Microsoft ガイダンス
Q: VMWare ESXi オペレーティングシステムを使用しています。影響を受けていますか?
A。詳細については、「
GRUB2 のセキュリティ脆弱性
に対する応答の VMware
Q: この脆弱性に対処するために必要なことは何ですか?
A: GRUB パッチ-オペレーティングシステムベンダーのアドバイザリの Linux 一部として、アップデートされた GRUB バイナリをロールアウトするか、またはカーネルの更新も行うことが想定されています。Linux 配布ベンダーの推奨事項に従って、影響を受けるパッケージを適切な順序で、Linux 配布ベンダーが提供する最新バージョンにアップデートすることをお勧めします。
Q: Linux を実行しています。システムで安全起動が有効になっているかどうかを確認するにはどうすればよいですか?
A: お使いのシステムの安全起動ステータスを確認するには、次の OS コマンドを使用します。
UEFI 起動が無効になっています。セキュアブートが無効になっています。
# mokutil--sb-state
EFI 変数はこのシステムではサポートされていません
UEFI 起動が有効になっています。セキュアブートが無効になっています。
# mokutil--sb-state セキュア化が無効化されました
セキュアブートが有効になっています。
# mokutil--sb-state
セキュア化有効
Q:Linux 配布アドバイザリに従ってパッチをインストールしましたが、システムが起動しなくなっています。
A: Linux 配布ベンダーのアップデートを適用した後にセキュアブートが失敗する場合は、次のいずれかのオプションを使用してリカバリします。
- レスキュー DVD を起動して、shim、grub2、およびカーネルの以前のバージョンを再インストールします。
- BIOS dbx データベースを工場出荷時のデフォルト値にリセットし、以下の手順を使用して、dbx で適用されたすべてのアップデート (OS ベンダーまたはその他の手段) を削除します。
1. BIOS セットアップ (F2) 2 を入力
します。 「システムセキュリティ」3を選択し
ます。 「セキュアブートポリシー」を「カスタム」4に設定
します。 [セキュアブートカスタムポリシー設定] 5 を選択し
ます。 "禁止署名データベース (dbx)" 6 を選択し
ます。 [Restore Default 禁じ Signature Database]-> "Yes"-> "OK" 7 を選択し
ます。 「セキュアブートポリシー」を「標準」8に設定
します。 保存して終了します。
警告: Dbx データベースが工場出荷時のデフォルトにリセットされると、お使いのシステムはパッチが適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、それ以降のアップデートの際に改善されました。
Q:セキュアブート認証署名データベース (db) のパブリック UEFI CA 証明書を使用しないように、Dell サーバを構成しました。Dell サーバーは、依然として GRUB2 攻撃を受けやすくなっていますか?
A: いいえ。これを実行すると、UEFI セキュアブートカスタマイズ機能が実装されます。システムが現在認識されていない脆弱性 (
cve-2020-14372、cve-2020-25632、cve-2020-25647、cve-2020-27749、 cve-2020-27779、cve-2021-20225、cve-2021-20233、cve-2020-10713、cve-2020-14308、cve-2020-14309、cve-2020-14310、cve-2020-14311、cve-2020-15705、cve-2020-15706、cve
-2020-15707
サーバーのセキュアブート承認済み署名データベース (db) の内容を表示するにはどうすればよいですか?
A:
ここでは、このドキュメントを確認してください。これは、アクセス制御の構成方法に応じて、RACADM、WS-AT MAN、WINRM、Redfish、BIOS F2 セットアップを使用して行うことができます。
その他のリファレンス:
GRUB2 脆弱性の詳細については、
Dell EMC PowerEdge サーバを参照してください。GRUB2 脆弱性に関する追加情報–「部首 Thole」