Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000184338

Dell PowerEdgeサーバー3月 2021 (GRUB) 脆弱性の漏洩に関する追加情報

Summary: GRUB の脆弱性 (大規模統合ブートローダー) は、安全な起動をバイパスすることができます。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Security Article Type

Security KB

CVE Identifier

CVE-2020-14372    CVE-2020-25632    CVE-2020-25647    CVE-2020-27749    CVE-2020-27779
CVE-2021-20225    CVE-2021-20233

Issue Summary

対象製品:        
Dell PowerEdge サーバと活用プラットフォーム

Details

リファレンス:         
オペレーティングシステムプロバイダのアドバイザリは、次の Dell セキュリティ通知に掲載されています。KB記事197160を参照してください。  Dell 2021-002 年3月2日、2021 Grub2 の脆弱性の漏洩への対応

Recommendations

よくあるお問い合わせ(FAQ):        

Q:影響を受けるモデルを教えてください。A:UEFI 安全起動が有効になっている PowerEdge サーバーと、その他のプラットフォームの Dell が影響を受けます。Dell では、適切な特定や追加の軽減措置など、詳細な情報をお客様のオペレーティングシステムプロバイダのアドバイザリに確認することをお勧めします。
お客様は、セキュリティのベストプラクティスに従い、デバイスへの許可されていない物理アクセスを防止する必要がありますまた、お客様は、物理的な攻撃からさらに保護するために、次の対策を講じることもできます。
  1. Bios の管理者パスワードを設定して、起動デバイス、セキュアブートモードなどの BIOS セットアップの設定が改ざんされないようにします。
  2. 内部起動デバイスの起動のみを許可するように起動設定を構成します。
Q:Windows オペレーティングシステムを使用しています。影響を受けていますか?
A: はい。Windows オペレーティングシステムが影響を受けます。プラットフォームまたは OS 管理者権限への物理的なアクセス権を持つ悪意のあるアクターは、脆弱な GRUB UEFI バイナリおよび起動時のマルウェアをロードする可能性があります。詳細については、「  ADV200011-Security Update Guide-Microsoft: GRUB

でのセキュリティ機能バイパスの対応のための Microsoft ガイダンスQ: VMWare ESXi オペレーティングシステムを使用しています。影響を受けていますか?
A。詳細については、「GRUB2 のセキュリティ脆弱性

に対する応答の VMwareQ: この脆弱性に対処するために必要なことは何ですか?
A: GRUB パッチ-オペレーティングシステムベンダーのアドバイザリの Linux 一部として、アップデートされた GRUB バイナリをロールアウトするか、またはカーネルの更新も行うことが想定されています。Linux 配布ベンダーの推奨事項に従って、影響を受けるパッケージを適切な順序で、Linux 配布ベンダーが提供する最新バージョンにアップデートすることをお勧めします。

Q: Linux を実行しています。システムで安全起動が有効になっているかどうかを確認するにはどうすればよいですか?
A: お使いのシステムの安全起動ステータスを確認するには、次の OS コマンドを使用します。     

UEFI 起動が無効になっています。セキュアブートが無効になっています。     
# mokutil--sb-state
EFI 変数はこのシステムではサポートされていません

UEFI 起動が有効になっています。セキュアブートが無効になっています。     
# mokutil--sb-state セキュア化が無効化されました

セキュアブートが有効になっています。     
# mokutil--sb-state
セキュア化有効

Q:Linux 配布アドバイザリに従ってパッチをインストールしましたが、システムが起動しなくなっています。
A: Linux 配布ベンダーのアップデートを適用した後にセキュアブートが失敗する場合は、次のいずれかのオプションを使用してリカバリします。     
  • レスキュー DVD を起動して、shim、grub2、およびカーネルの以前のバージョンを再インストールします。
  • BIOS dbx データベースを工場出荷時のデフォルト値にリセットし、以下の手順を使用して、dbx で適用されたすべてのアップデート (OS ベンダーまたはその他の手段) を削除します。
1.    BIOS セットアップ (F2) 2 を入力
します。    「システムセキュリティ」3を選択し
ます。    「セキュアブートポリシー」を「カスタム」4に設定
します。    [セキュアブートカスタムポリシー設定] 5 を選択し
ます。    "禁止署名データベース (dbx)" 6 を選択し
ます。    [Restore Default 禁じ Signature Database]-> "Yes"-> "OK" 7 を選択し
ます。    「セキュアブートポリシー」を「標準」8に設定
します。    保存して終了します。 

警告: Dbx データベースが工場出荷時のデフォルトにリセットされると、お使いのシステムはパッチが適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、それ以降のアップデートの際に改善されました。

Q:セキュアブート認証署名データベース (db) のパブリック UEFI CA 証明書を使用しないように、Dell サーバを構成しました。Dell サーバーは、依然として GRUB2 攻撃を受けやすくなっていますか?
A: いいえ。これを実行すると、UEFI セキュアブートカスタマイズ機能が実装されます。システムが現在認識されていない脆弱性 (cve-2020-14372、cve-2020-25632、cve-2020-25647、cve-2020-27749、 cve-2020-27779、cve-2021-20225、cve-2021-20233、cve-2020-10713、cve-2020-14308、cve-2020-14309、cve-2020-14310、cve-2020-14311、cve-2020-15705、cve-2020-15706、cve -2020-15707

サーバーのセキュアブート承認済み署名データベース (db) の内容を表示するにはどうすればよいですか?
A: ここでは、このドキュメントを確認してください。これは、アクセス制御の構成方法に応じて、RACADM、WS-AT MAN、WINRM、Redfish、BIOS F2 セットアップを使用して行うことができます。


その他のリファレンス:     
GRUB2 脆弱性の詳細については、 Dell EMC PowerEdge サーバを参照してください。GRUB2 脆弱性に関する追加情報–「部首 Thole」

Legal Information

Article Properties

Affected Product

PowerEdge, Operating Systems

Product

Servers, Product Security Information

Last Published Date

30 Mar 2021

Version

2

Article Type

Security KB

Back to Top