Servery Dell PowerEdge Další informace týkající se odhalení chyby zabezpečení 2021 (GRUB)

Často kladené dotazy:        

/Q Kterých modelů se tento problém týká?Odpověď: Servery Dell PowerEdge a využité platformy, které mají povoleno zabezpečené spouštění UEFI, jsou ovlivněny. Společnost Dell doporučuje zákazníkům, aby si přezkoumali informační zpravodaje příslušného poskytovatele operačního systému ohledně dalších informací, a to včetně příslušných identifikačních a doplňkových opatření ke zmírnění.
Zákazník by měl dodržovat doporučené postupy zabezpečení a zabránit neoprávněnému přístupu k zařízením. Zákazník může také provést další ochranu před fyzickými útoky.

1. Nastavte heslo správce systému BIOS tak, aby nedošlo ke změně konfigurace nastavení systému BIOS, například spouštěcího zařízení a režimu zabezpečeného spouštění.
2. Konfigurace nastavení spouštění pouze k tomu, aby bylo možné spustit interní spouštěcí zařízení.

/Q Používám operační systém Windows. Jsem postižený?
A: Ano. Jsou ovlivněny operační systémy Windows. Zlomyslný herec, který má fyzický přístup k platformě nebo oprávnění správce operačního systému, může načítat ohrožený software GRUB UEFI binary a doba spouštění. V článku  ADV200011 – příručka aktualizace zabezpečení – pokyny pro systém Microsoft – Microsoft pro řešení obcházení funkcí zabezpečení v GRUB

Q: Používám operační systém VMWare ESXi. Jsem postižený?
A. V článku Grub2 v případě chyby

zabezpečení VMware Response Q: Co potřebuji k vyřešení této chyby zabezpečení?
A: GRUBme opravu – v rámci informačních zpravodajů pro operační systém Linux se očekává, že se zaktualizují aktualizované binární soubory GRUB, nebo v některých případech také aktualizace jádra. Doporučujeme vám, abyste se dotýkali zveřejněných doporučení dodavatelů distribuce operačního systému Linux, které zajistí aktualizaci příslušných balíčků ve správném pořadí, na nejnovější verze dodané prodejcem pro systém Linux.

Q: Používám systém Linux. Jak zjistím, zda je v mém systému povoleno zabezpečené spouštění?
A: Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:     
/Q Opravy jsou nainstalovány podle distribučních zpravodajů systému Linux, tento systém se již nespouští.
A: Dojde-li k selhání zabezpečeného spouštění po instalaci aktualizací dodavatele distribuce operačního systému Linux, použijte k obnovení jednu z následujících možností:     

• Spusťte záchranný disk DVD a pokuste se přeinstalovat předchozí verzi shim, grub2 a jádra.
• Namontujte databázi DBX systému BIOS na výchozí tovární hodnotu a odeberte všechny aktualizace nástroje dbx, které byly použity (od dodavatele OS nebo jiných prostředků), podle následujícího postupu:

/Q Nakonfiguroval jsem server Dell tak, že nepoužívá veřejný certifikát UEFI CA v databázi zabezpečení oprávněné zavádění (Secure Boot Signature). Je mi Server Dell stále náchylný k GRUB2m útokům?
A: Ne, jakmile provedete tuto možnost, bude implementována funkce přizpůsobení zabezpečeného spouštění UEFI. a váš systém již není zranitelný s aktuálně známými chybami (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 a CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705 , CVE-2020-15706

Jak zobrazit, co je ve své serverové databázi autorizované na ověření zabezpečeného spouštění?
A: Dokument si prosím přečtěte zde. To lze provést prostřednictvím nastavení RACADM, WS-MAN, WINRM, návod Redfish a BIOS F2, podle toho, jak jste nakonfigurovali řízení přístupu. 


Další reference:     
Další informace o slabých místech GRUB2 naleznete na serverech Dell EMC PowerEdge: Další informace týkající se chyby zabezpečení GRUB2 – "BootHole"