CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
常見問題:
問:哪些平臺受到影響?
A:Dell PowerEdge 伺服器和使用已啟用 UEFI 安全開機的平臺會受到影響。Dell 建議客戶檢查其作業系統供應商的諮詢,以取得進一步的資訊,包括適當的識別和其他的減輕措施。
客戶應遵循安全性最佳實務,並防止未經授權實體存取裝置。客戶也可以採取下列措施,以進一步保護自身免受實體攻擊。
- 設定 BIOS 管理密碼,以防止變更 BIOS 設定設定,例如開機裝置,以及 Secure Boot mode (安全開機模式)。
- 將開機設定設定為僅允許啟動至內部開機裝置。
問:我使用 Windows 的作業系統。我是否會受到影響?
A:是Windows 的作業系統會受到影響。可實體存取平臺或操作系統管理員許可權的惡意主角可能會載入易受攻擊的 GRUB UEFI 二進位與開機時間的惡意程式碼。請參閱:
ADV200011-安全性更新指南-Microsoft Microsoft 指南,用於解決 GRUB
中的安全功能繞過情況
Q:我使用 VMWare ESXi 作業系統。我是否會受到影響?
A。請參閱:
VMware 回應 GRUB2 安全性漏洞
Q:為解決這個漏洞需要做什麼?
A:GRUB 修補程式-作為 Linux 作業系統供應商的建議的一部分,他們預計將更新的 GRUB 二進位代碼或在某些情況下,也會在核心更新中推出。我們鼓勵您遵循 Linux 分銷廠商出版的建議,以正確的順序將受影響的套件更新至 Linux 分銷廠商所提供的最新版本。
Q:我正在執行 Linux。我要如何知道我的系統是否已啟用安全開機?
A:若要確認系統的安全開機狀態,請使用下列 OS 命令:
已停用 UEFI Boot;已停用安全開機:
# mokutil--sb-狀態
不支援此系統上的 EFI 變數
已啟用 UEFI 開機;已停用安全開機:
# mokutil--sb-狀態
SecureBoot 已停用
Secure Boot (安全啟動)已啟用:
# mokutil--sb-狀態
SecureBoot 已啟用
問:我已在 Linux 發佈建議之後安裝修補程式,但系統無法再啟動。
A:如果在套用 Linux 配送供應商的更新後,安全啟動失敗,請使用下列其中一個選項復原:
- 開機至挽救 DVD,並嘗試重新安裝舊版的墊片、grub2 和核心。
- 將 BIOS .dbx 資料庫重設為原廠預設值,並使用下列程式移除任何的 .dbx 套用的更新(從作業系統廠商或其他方式):
1. 進入 BIOS 設定(F2)
2。 選取「系統安全性」
3。 將「安全開機原則」設為「自訂」
4。 選取「安全開機自訂原則設定」
5。 選取「已禁止的簽署資料庫(.dbx)」
6。 選取「還原預設的已禁止的簽名資料庫」-> 「是」-> 「OK」
7。 將「安全開機原則」設為「標準」
8。 儲存並退出
警告:當您的 .dbx 資料庫重設為原廠預設值後,您的系統就不會再修補,而且容易受到這些漏洞的影響,並在後續更新中修正。
問:我已設定 Dell 伺服器,因此不會使用安全開機授權特徵碼資料庫(db)中的公用 UEFI CA 憑證。我的 Dell 伺服器是否仍易受 GRUB2 攻擊?
A:否,一旦完成這項作業,您將實施 UEFI 安全開機自訂功能,而且您的系統不再受限於目前已知的安全性漏洞(
cve-2020-14372、cve-2020-25632、cve-2020-25647、cve-2020-27749、cve-2020-27779、cve-2021-20225、cve-2021-20233和
cve-2020-10713、cve-2020-14308、cve-2020-14309 、cve-2020-14310、cve-2020-14311、cve-2020-15705)
Q:我要如何查看我的伺服器安全開機授權的特徵碼資料庫(db)?
A:請
在此查看本檔。您可以透過 RACADM、WS MAN、WINRM、Redfish 和 BIOS F2 設定來完成此動作,視存取控制的設定而定。
其他參考資料:
如需更多有關 GRUB2 漏洞的資訊,請參閱
Dell EMC PowerEdge 伺服器:有關 GRUB2 漏洞的其他資訊–「BootHole」