CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Vanlige spørsmål:
/Q
Hvilke modeller er berørt?Sv: Dell PowerEdge servere og utnyttede plattformer som har UEFI sikker oppstart aktivert, påvirkes. Dell anbefaler at kunden gjennomgår de tilhørende produsenten av operativ system leverandøren for ytterligere informasjon, inkludert riktig identifikasjon og andre typer begrensende tiltak.
Kunden bør følge sikkerhets rutiner for sikkerhet og forhindre uautorisert fysisk tilgang til enheter. Kunden kan også ta de følgende tiltak for å beskytte seg selv mot fysiske angrep.
- Angi BIOS admin-passordet for å unngå endringer av konfigurerings konfigurasjonen for BIOS, for eksempel oppstarts enhet og sikker oppstart modus.
- Konfigurere oppstarts innstillinger for å bare tillate oppstart til den interne oppstarts enheten.
/Q Jeg bruker et Windows operativ system. Er jeg berørt?
A: Ja. Windows operativ systemer påvirkes. En ond sinnet skuespiller som har fysisk tilgang til plattformen, eller administrator rettigheter for systemansvarlig, kan laste inn et sårbart GRUB-UEFI binær-og oppstarts tidspunkt for skadelig program vare. Sjekk
ADV200011-veiledning for sikkerhets oppdateringer – Microsoft-Microsoft veiledning for å løse sikkerhets funksjoner, forbigå i grub
Spørsmål: Jeg bruker VMWare ESXi operativ systemet. Er jeg berørt?
A. Sjekk
VMware respons på GRUB2 sikkerhets problemet
Spørsmål: Hva må jeg gjøre for å løse dette sikkerhets problemet?
A: GRUB patch (som en del av Linux Opera ting Systems leverandørers ' konsulenter) er forventet for å rulle ut oppdaterte GRUB-binærfiler eller i enkelte tilfeller også kjerne oppdateringer. Vi oppfordrer deg til å følge de publiserte anbefalingene for Linux distribusjons leverandører for å oppdatere de aktuelle pakkene, i riktig rekkefølge, til de nyeste versjonene som leveres av leverandøren av Linux-distribusjon.
Spørsmål: Jeg kjører Linux. Hvordan vet jeg om jeg har sikker oppstart aktivert på systemet mitt?
A: Hvis du vil kontrollere status for sikker oppstart for systemet, bruker du følgende OS-kommando:
UEFI oppstart er deaktivert. Sikker oppstart er deaktivert:
# mokutil--SB-State
EFI-variabler støttes ikke på dette systemet
UEFI oppstart er aktivert. Sikker oppstart er deaktivert:
# mokutil--SB-tilstand-
SecureBoot deaktivert
Sikker oppstart er aktivert:
# mokutil--SB-status
SecureBoot aktivert
/Q Jeg har installert oppdateringene etter Linux distribusjons veiledningene, men systemet starter ikke lenger.
A: Hvis sikker oppstart mislykkes etter at du har tatt i bruk Linux distribusjons leverandørens oppdateringer, bruker du ett av følgende alternativer for å gjenopprette:
- Starte opp i en berg DVD og forsøke å installere den forrige versjonen av mellomlag, GRUB2 og kernel på nytt.
- Tilbakestill BIOS DBX-databasen til fabrikk innstillingene, og ta ut alle DBX-aktiverte oppdateringer (enten fra OS-leverandør eller andre metoder) ved hjelp av følgende Fremgangs måte:
1. Gå inn i BIOS-oppsett (F2)
2. Velg "system sikkerhet"
3. Angi "sikker oppstart policy" til "Custom"
4. Velg "sikker oppstart egen definerte policy innstillinger"
5. Velg "forbudt signatur database (DBX)"
6. Velg "Gjenopprett standard forbudt signatur database"-> "ja"-> "OK"
7. Angi "policy for sikker oppstart" til "standard"
8. Lagre og avslutt
Advarsel: Når DBX-databasen er tilbakestilt til fabrikken standard, er systemet ikke lenger oppdatert, og er sårbart overfor disse, og eventuelle andre sikkerhets problemer, som blir utnyttet i senere oppdateringer.
/Q Jeg har konfigurert min Dell Server, slik at den ikke bruker sertifikatet for felles UEFI-sertifisering i sikker oppstart-databasens database (DB). Er min Dell Server fremdeles utsatt for GRUB2-angrep?
A: Nei, når du har gjort dette, vil du ha implementert UEFI-funksjonen for sikker oppstart. og systemet ditt ikke lenger er utsatt for kjente sikkerhets problemer (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706
, CVE-2020-15707 )
Q: Hvordan kan jeg se hva som er i serverens sikker oppstart autoriserte signatur database (DB)?
A: Les dette dokumentet
her. Du kan gjøre dette ved hjelp av RACADM, WS-MAN, WINRM, Redfish og BIOS F2-oppsettet, avhengig av hvordan du har konfigurert tilgangs kontroll.
Flere referanser:
Hvis du vil ha mer informasjon om GRUB2-sikkerhets problemer, kan du se
Dell EMC PowerEdge servere: Ytterligere informasjon om GRUB2-sikkerhets problemet – "BootHole"