CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Häufig gestellte Fragen (FAQs):
Q
Welche Modelle sind betroffen?A: Dell PowerEdge-Server und genutzte Plattformen, auf denen UEFI Secure Boot aktiviert ist, sind betroffen. Dell empfiehlt Kunden, die Empfehlungen Ihres Betriebssystems zu überprüfen, um weitere Informationen zu erhalten, einschließlich einer angemessenen Identifikation und zusätzlicher Minderungsmaßnahmen.
Der Kunde sollte die Best Practices für die Sicherheit und den unbefugten physischen Zugriff auf Geräte verhindern. Der Kunde kann außerdem die folgenden Maßnahmen ergreifen, um sich vor physischen Angriffen zu schützen.
- Stellen Sie das BIOS-Administratorkennwort ein, um eine Änderung der BIOS-Setup-Konfiguration zu verhindern, z. b. das Startgerät und den sicheren Startmodus.
- Konfigurieren Sie die Start Einstellungen so, dass nur das Starten des internen Startgeräts erlaubt wird.
Q Ich verwende ein Windows-Betriebs System. Bin ich betroffen?
A: Ja. Windows Betriebssysteme sind beeinträchtigt. Ein böswilliger Akteur, der physischen Zugriff auf die Plattform oder Betriebssystem-Administratorrechte hat, kann eine gefährdete grub-UEFI Binär-und Start Zeit Schadsoftware laden. (Siehe dazu „
ADV200011 – Leitfaden für die Sicherheitsaktualisierung – Microsoft Microsoft Leitfaden für die Adressierung der Sicherheits Funktions Umgehung in GRUB
Q: Ich verwende VMware ESXi-Betriebs System. Bin ich betroffen?
A. (Siehe dazu „
VMware Reaktion auf grub2-Sicherheitsschwachstellen
Q: Was muss ich tun, um diese Schwachstelle zu lösen?
A: GRUB-Update – im Rahmen der Empfehlungen von Linux-Betriebs System Anbietern wird erwartet, dass Sie aktualisierte grub-Binärdateien oder in einigen Fällen auch Kernel-Aktualisierungen bereitstellen. Wir empfehlen Ihnen, die veröffentlichten Empfehlungen der Linux Verteilungs Anbieter zu befolgen, um die betroffenen Pakete in der richtigen Reihenfolge auf die neuesten Versionen zu aktualisieren, die vom Linux Vertriebs Anbieter bereitgestellt werden.
Q: Ich habe Linux ausgeführt. Wie kann ich feststellen, ob auf meinem System Secure Boot aktiviert ist?
A: Um den Status des sicheren Starts Ihres Systems zu überprüfen, verwenden Sie den folgenden BS-Befehl:
UEFI Start ist deaktiviert. Secure Boot (sicherer Start) ist deaktiviert:
# mokutil--SB-State
EFI-Variablen werden auf diesem System nicht unterstützt.
UEFI Start ist aktiviert; Secure Boot (sicherer Start) ist deaktiviert:
# mokutil--SB-State
SecureBoot disabled
Secure Boot (sicherer Start) ist aktiviert:
# mokutil--SB-State
SecureBoot Enabled
Q Ich installierte die Patches nach den Linux Verteilungs Ratgebern, aber mein System startet nicht mehr.
A: Wenn der sichere Startvorgang nach der Anwendung der Aktualisierungen des Linux Verteilungs Anbieters fehlschlägt, verwenden Sie eine der folgenden Optionen, um die Wiederherstellung durchzuführen:
- Starten Sie eine Rescue-DVD und versuchen Sie, die vorherige Version von Shim, grub2 und Kernel neu zu installieren.
- Setzen Sie die BIOS-dbx-Datenbank auf den werkseitigen Standardwert zurück und entfernen Sie alle dbx-angewendeten Aktualisierungen (entweder vom Betriebssystemanbieter oder anderen Mitteln) mithilfe des folgenden Verfahrens:
1. Rufen Sie das BIOS-Setup (F2)
2 auf. Wählen Sie "System Sicherheit"
3. Legen Sie die Richtlinie für den sicheren Start auf "Custom"
4 fest. Wählen Sie "Secure Boot Custom Policy Settings"
5 aus. Wählen Sie "Forbidden Signature Database (dbx)"
6 aus. Wählen Sie "Restore default Forbidden Signature Database" – > "yes"-> "OK"
7 aus. Legen Sie die Richtlinie für den sicheren Start auf "Standard"
8 fest. Speichern und beenden Sie
Warnung: Sobald Ihre dbx-Datenbank auf die Werkseinstellungen zurückgesetzt wird, wird Ihr System nicht mehr gepatcht und ist anfällig für diese und alle anderen Schwachstellen, die in späteren Aktualisierungen behoben werden.
Q Ich habe meinen Dell Server so konfiguriert, dass er nicht das öffentliche UEFI CA-Zertifikat in der Datenbank "Secure Boot Authorized Signature Database (DB)" verwendet. Ist mein Dell Server weiterhin anfällig für grub2-Angriffe?
A: Nein, wenn Sie dies getan haben, haben Sie die UEFI Secure Boot Customization-Funktion implementiert. und Ihr System ist nicht mehr anfällig für die derzeit bekannten Schwachstellen (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 und
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707)
Q: Wie kann ich sehen, was in der Datenbank "Secure Boot Authorized Signature Database (DB)" meines Servers vorliegt?
A: Lesen Sie dieses Dokument
hier. Sie können dies über die RACADM-, WS-man-, WINRM-, und das BIOS F2-Setup-Konfiguration durchführen, je nachdem, wie Sie die Zugriffskontrolle konfiguriert haben.
Weitere Referenzen:
Weitere Informationen zu grub2-Schwachstellen finden Sie unter
Dell EMC PowerEdge Servern: Zusätzliche Informationen zur grub2-Schwachstelle "BootHole"