CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Domande frequenti:
/Q
Quali modelli sono interessati?R: Dell PowerEdge Server e le piattaforme utilizzate che hanno UEFI Secure Boot Enabled sono interessati. Dell consiglia ai clienti di esaminare le consulenze del provider del sistema operativo per ulteriori informazioni, tra cui l'identificazione appropriata e le misure di attenuazione aggiuntive.
Il cliente deve seguire le best practice per la sicurezza e prevenire l'accesso fisico non autorizzato ai dispositivi. Il cliente può inoltre adottare le seguenti misure per proteggersi ulteriormente dagli attacchi fisici.
- Impostare la password dell'amministratore del BIOS per evitare l'alterazione della configurazione del BIOS, come il dispositivo di avvio e la modalità di avvio protetto.
- Configurare le impostazioni di avvio in modo da consentire l'avvio solo al dispositivo di avvio interno.
/Q Uso un sistema operativo Windows. Sono interessato?
A: Sì. I sistemi operativi Windows sono interessati. Un attore dannoso che ha accesso fisico alla piattaforma o ai privilegi di amministratore del sistema operativo, può caricare un GRUB vulnerabile UEFI il file binario e l'ora di avvio. Consultare
ADV200011-Guida all'aggiornamento della sicurezza-Microsoft-guida Microsoft per l'indirizzamento delle funzionalità di sicurezza in grub
Q: Uso VMWare ESXi sistema operativo. Sono interessato?
A. Consultare
Risposta VMware alla vulnerabilità
di sicurezza GRUB2
Q: Che cosa devo fare per affrontare questa vulnerabilità?
A: Patch GRUB-come parte degli avvisi di Linux dei fornitori del sistema operativo, si prevede di eseguire l'aggiornamento dei file binari di GRUB o, in alcuni casi, anche gli aggiornamenti del kernel. Si consiglia di seguire le raccomandazioni pubblicate dei vendor di distribuzione di Linux per aggiornare i pacchetti interessati, nell'ordine corretto, alle versioni più recenti fornite dal vendor di distribuzione Linux.
Q: Sono in funzione Linux. Come faccio a sapere se l'avvio sicuro è abilitato sul sistema?
A: Per verificare lo stato di avvio sicuro del sistema, utilizzare il seguente comando del sistema operativo:
UEFI avvio è disattivato; L'avvio sicuro è disattivato:
# mokutil--le variabili di tipo SB-state
EFI non sono supportate nel sistema
UEFI avvio è abilitato; L'avvio sicuro è disattivato:
# mokutil--SB-stato
SecureBoot disattivato
L'avvio sicuro è abilitato:
# mokutil--SB-stato
SecureBoot abilitato
/Q Ho installato le patch in seguito agli avvisi di distribuzione di Linux ma il mio sistema non è più in carica.
A: Se l'avvio sicuro non riesce dopo l'applicazione degli aggiornamenti del vendor di distribuzione Linux, utilizzare una delle seguenti opzioni per eseguire il ripristino:
- Avviare una DVD di salvataggio e tentare di reinstallare la versione precedente di shim, GRUB2 e kernel.
- Reimpostare il database DBX del BIOS sul valore predefinito di fabbrica e rimuovere eventuali aggiornamenti applicati da dbx (dal vendor del sistema operativo o da altri mezzi) utilizzando la seguente procedura:
1. Immettere la configurazione del BIOS (F2)
2. Selezionare "sicurezza del sistema"
3. Impostare "Secure Boot Policy" su "Custom"
4. Selezionare "impostazioni Secure Boot Custom Policy"
5. Selezionare "database di firme proibito (dbx)"
6. Selezionare "Ripristina database di firma vietato predefinito"-> "Sì"-> "OK"
7. Impostare "Secure Boot Policy" su "standard"
8. Salvare e uscire
Avviso: Una volta che il database DBX viene reimpostato su predefinito di fabbrica, il sistema non è più Patched ed è vulnerabile a questi e a qualsiasi altra vulnerabilità, rimediata in aggiornamenti successivi.
/Q Ho configurato il server Dell in modo che non utilizzi il certificato di CA pubblico UEFI nel database di firme autorizzato per l'avvio protetto (DB). Il mio Dell Server è ancora suscettibile agli attacchi GRUB2?
A: No, una volta completata questa operazione, sarà necessario implementare la funzione di personalizzazione di avvio UEFI Secure, e il sistema non è più suscettibile alle vulnerabilità attualmente note (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 e
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705 , CVE-2020-15706, CVE-2020-15707)
Q: In che modo è possibile visualizzare I contenuti nel database di firme di avvio sicuro del server (DB)?
A: Consultare questo documento
qui. È possibile farlo tramite RACADM, WS-MAN, WINRM, scorfano e BIOS F2 Setup, a seconda di come è stato configurato il controllo dell'accesso.
Riferimenti aggiuntivi:
Per ulteriori informazioni sulle vulnerabilità di GRUB2, fare riferimento a
Dell EMC PowerEdge Server: Ulteriori informazioni sulla vulnerabilità di GRUB2-"BootHole"