CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Preguntas frecuentes:
Pregunta ¿Qué plataformas se ven afectadas?
A: Se ven afectados los servidores PowerEdge de Dell y las plataformas aprovechadas que UEFI tienen habilitado el inicio seguro. Dell recomienda que los clientes revisen sus asesorías del proveedor del sistema operativo para obtener más información, incluida la identificación y las medidas de mitigación adicionales.
El cliente debe seguir las mejores prácticas de seguridad e impedir el acceso físico no autorizado a los dispositivos. El cliente también puede tomar las siguientes medidas para protegerse aún más contra ataques físicos.
- Establezca la contraseña de administrador del BIOS para evitar la alteración de la configuración del BIOS, como el dispositivo de inicio y el modo de inicio seguro.
- Configure los valores de inicio para que solo permitan el inicio al dispositivo de inicio interno.
Pregunta Puedo utilizar un sistema operativo Windows. ¿Estoy afectado?
A: Sí. Windows los sistemas operativos se ven afectados. Un actor malicioso que tenga acceso físico a la plataforma, o privilegios de administrador del sistema operativo, puede cargar un malware de GRUB UEFI de arranque y de tiempo de arranque. Consulte “
Guía de actualización de seguridad de ADV200011: Guía de Microsoft Microsoft para abordar la omisión de la función de seguridad en GRUB
P: Puedo utilizar el sistema operativo VMWare ESXi. ¿Estoy afectado?
A. Consulte “
VMware respuesta a la vulnerabilidad
de seguridad de grub2
P: ¿Qué debo hacer para abordar esta vulnerabilidad?
A: Parche de GRUB: como parte de Linux asesorías de proveedores de sistemas operativos, se espera que implementen binarios de GRUB actualizados o, en algunos casos, también las actualizaciones del kernel. Le recomendamos seguir las recomendaciones publicadas de los Linux proveedores de distribución para actualizar los paquetes afectados, en el orden correcto, a las versiones más recientes que suministra el proveedor de distribución de Linux.
P: Estoy ejecutando Linux. ¿Cómo sé si tengo activado el inicio seguro en mi sistema?
A: Para verificar el estado de inicio seguro del sistema, utilice el siguiente comando de SO:
El inicio de UEFI está deshabilitado. El inicio seguro está deshabilitado:
las variables # mokutil--SB-State
EFI no son compatibles en este sistema
El inicio de UEFI está activado; El inicio seguro está deshabilitado:
# mokutil--el SecureBoot de estado de SB
deshabilitado
Se activa el inicio seguro:
# mokutil--la función SecureBoot de estado de SB
activada
Pregunta He instalado los parches posteriores a la Linux asesorías de distribución, pero el sistema ya no se inicia.
A: Si se produce un error en el inicio seguro después de aplicar las actualizaciones del proveedor de Linux Distribution, utilice una de las siguientes opciones para recuperar:
- Inicie en un DVD de recuperación e intente volver a instalar la versión anterior de Shim, grub2 y kernel.
- Restablezca la base de datos del BIOS dbx al valor predeterminado de fábrica y quite las actualizaciones aplicadas de dbx (ya sean del proveedor del so u otros medios) mediante el siguiente procedimiento:
1. Introduzca la configuración del BIOS (F2)
2. Seleccione "seguridad del sistema"
3. Configure "política de inicio seguro" en "personalizado"
4. Seleccione "configuración de la política personalizada de inicio seguro"
5. Seleccione "prohibido Signature Database (dbx)"
6. Seleccione "restaurar la base de datos de firma prohibida predeterminada"-> "sí"-> "Aceptar"
7. Configure "política de inicio seguro" en "estándar"
8. Guarde los cambios y salga del BIOS.
Advertencia: Una vez que la base de datos dbx se restablece a los valores predeterminados de fábrica, el sistema ya no tiene parches, y es vulnerable a estos, y cualquier otra vulnerabilidad se corrige en actualizaciones posteriores.
Pregunta Configuré mi servidor de Dell de modo que no utilice el certificado de CA de UEFI pública en la base de datos de firma de Secure boot autorizado (dB). ¿Mi servidor de Dell aún es susceptible a ataques de GRUB2?
A: No, una vez que haya hecho esto, habrá implementado la función de personalización de inicio seguro UEFI. y el sistema ya no es susceptible a las vulnerabilidades conocidas (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233, CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-
2020-14311, CVE- 2020-15705, CVE-2020-15706, CVE-2020-15707)
Q: ¿Cómo puedo ver el contenido de la base de datos de firma autorizada de inicio seguro de mi servidor (dB)?
A: Revise este documento
aquí. Puede hacerlo a través de la configuración RACADM, WS-MAN, WINRM, Redfish y BIOS F2, según la configuración de control de acceso.
Referencias adicionales:
Para obtener información adicional acerca de las vulnerabilidades de GRUB2, consulte
Dell EMC PowerEdge servidores: Información adicional relacionada con la vulnerabilidad de GRUB2: "BootHole"