CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Questions fréquentes :
/Q
Quels modèles sont concernés ?R : Dell PowerEdge serveurs et les plates-formes exploitées sur lesquelles UEFI amorçage sécurisé est activé sont affectées. Dell recommande aux clients de consulter les conseils de leurs fournisseurs de systèmes d’exploitation pour plus d’informations, y compris l’identification appropriée et les mesures d’atténuation supplémentaires.
Le client doit suivre les bonnes pratiques en matière de sécurité et empêcher tout accès physique non autorisé aux périphériques. Le client peut également adopter les mesures suivantes pour mieux se protéger des attaques physiques.
- Définissez le mot de passe de l’administrateur du BIOS pour empêcher toute modification de la configuration du BIOS, par exemple le périphérique d’amorçage et le mode de démarrage sécurisé.
- Configurez les paramètres de démarrage pour autoriser uniquement l’amorçage sur le périphérique d’amorçage interne.
/Q J’utilise un système d’exploitation Windows. Suis-je affecté ?
A: Oui. Windows les systèmes d’exploitation sont affectés. Un acteur malveillant qui dispose d’un accès physique à la plate-forme ou à des privilèges d’administrateur du système d’exploitation peut charger un fichier GRUB UEFI fichier binaire et de temps de démarrage vulnérable. Reportez-vous au
ADV200011-Guide de mise à jour de sécurité-Guide d’Microsoft-Microsoft pour l’adressage de la fonction de contournement des fonctions de sécurité dans grub
Q: J’utilise le système d’exploitation VMWare ESXi. Suis-je affecté ?
A. Reportez-vous au
VMware la réponse à la vulnérabilité
de sécurité grub2
Q: Que dois-je faire pour résoudre ce problème ?
A: GRUB patch : dans le cadre de Linux conseils des fournisseurs du système d’exploitation, il est prévu de déployer des fichiers binaires GRUB mis à jour ou, dans certains cas, des mises à jour du noyau. Nous vous invitons à suivre les recommandations publiées des fournisseurs de Linux distribution afin de mettre à jour les progiciels concernés, dans l’ordre approprié, aux dernières versions fournies par le fournisseur de distribution Linux.
Q: J’exécute Linux. Comment puis-je savoir si le démarrage sécurisé est activé sur mon système ?
A: Pour vérifier l’état d’amorçage sécurisé de votre système, utilisez la commande OS suivante :
UEFI Boot est désactivé. Secure Boot (amorçage sécurisé) est désactivé :
# mokutil--SB-State
les variables EFI ne sont pas prises en charge sur ce système
UEFI Boot est activé ; Secure Boot (amorçage sécurisé) est désactivé :
# mokutil--SB-State
SecureBoot désactivé
Secure Boot (amorçage sécurisé) est activé :
# mokutil--SB-State
SecureBoot Enabled
/Q J’ai installé les correctifs en suivant les conseils de distribution de Linux, mais mon système ne démarre plus.
A : En cas d’échec de l’amorçage sécurisé après avoir appliqué les mises à jour du fournisseur de distribution Linux, utilisez l’une des options suivantes pour la restauration :
- Démarrez à partir d’un DVD de secours et essayez de réinstaller la version précédente du shim, de l’grub2 et du noyau.
- Réinitialisez la base de données du BIOS dbx à la valeur par défaut et supprimez toutes les mises à jour installées dbx (à partir du fournisseur du système d’exploitation ou d’un autre moyen) à l’aide de la procédure suivante :
1. Entrez dans le programme de configuration du BIOS (F2)
2. Sélectionnez « sécurité du système »
3. Définissez la stratégie de démarrage sécurisé sur « personnalisé »
4. Sélectionnez « Paramètres de stratégie personnalisée d’amorçage sécurisé »
5. Sélectionnez "la base de données de signatures interdites (dbx)"
6. Sélectionnez « restaurer la base de données de signatures protégées par défaut »-> « Oui »-> « OK »
7. Définissez la stratégie de démarrage sécurisé sur « standard »
8. Enregistrez et quittez.
Avertissement : Une fois que la base de données dbx est réinitialisée aux valeurs d’usine par défaut, votre système n’est plus à l’État correctif et est vulnérable à ces autres vulnérabilités, ainsi qu’à toutes les autres vulnérabilités, corrigées dans les mises à jour ultérieures.
/Q J’ai configuré mon serveur Dell afin qu’il n’utilise pas le certificat de l’autorité de certification UEFI publique dans la base de données de signatures d’amorçage sécurisé (dB). Est-ce que mon serveur Dell est toujours vulnérable aux attaques GRUB2 ?
A: Non, une fois que vous avez effectué cette opération, vous aurez mis en œuvre la fonction de personnalisation de l’UEFI Secure Boot, et votre système n’est plus vulnérable aux vulnérabilités actuellement connues (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 et
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE -2020-15705, CVE-2020-15706, CVE-2020-15707)
Q: Comment puis-je afficher ce qui se trouve dans la base de données de signatures d’amorçage sécurisé (BD) de mon serveur ?
A: Veuillez consulter ce document
ici. Vous pouvez effectuer cette opération à l’aide de la configuration RACADM, WS-MAN, WINRM, Redfish et BIOS F2, en fonction de la façon dont vous avez configuré le contrôle d’accès.
Références supplémentaires :
Pour plus d’informations sur les vulnérabilités GRUB2, reportez-vous à la section
Dell EMC serveurs PowerEdge : Informations supplémentaires concernant la vulnérabilité GRUB2 – « BootHole »