Serwery Dell PowerEdge Dodatkowe informacje na temat usterki 2021 (GRUB) Luka w zabezpieczeniach

Najczęściej zadawane pytania:        

/Q Których modeli dotyczy problem?Odpowiedź: Zagrożone są tylko Dell Serwery PowerEdge i platformy, z których UEFI bezpieczne uruchomienie są włączone. Dell zaleca klientom zapoznanie się z klasyfikatorami systemu operacyjnego w celu uzyskania dalszych informacji, w tym odpowiednich identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i uniemożliwiać fizyczny dostęp do urządzeń. Klient może również podjąć następujące środki w celu dalszego chronienia się przed fizycznymi atakami.

1. Ustawienie hasła administratora systemu BIOS zapobiega zmianom konfiguracji systemu BIOS, takich jak urządzenie startowe i tryb bezpiecznego uruchamiania.
2. Konfiguracja ustawień rozruchu zezwala na uruchamianie tylko wewnętrznego urządzenia startowego.

/Q Używam Windows systemu operacyjnego. Mam do mnie wpływ?
A: Tak. Windows systemy operacyjne są zagrożone. Aktor niebezpieczny, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może ładować zagrożoną GRUB UEFIą binarną i w czasie rozruchu złośliwe oprogramowanie. Patrz  ADV200011 — Instrukcja aktualizacji zabezpieczeń-Microsoft-Microsoft wskazówki dotyczące rozwiązywania funkcji bezpieczeństwa obejście w grub

Q: Używam systemu operacyjnego VMWare ESXi. Mam do mnie wpływ?
A. Patrz VMware odpowiedzi na GRUB2 zabezpieczeń

Q: Co należy zrobić, aby rozwiązać tę lukę?
A: GRUB poprawka – w ramach doradców producentów systemów operacyjnych Linux oczekuje się, że zostały zaktualizowane GRUB pliki binarne lub w niektórych przypadkach również aktualizacje jądra. Firma Microsoft zachęca do wykonania opublikowanych zaleceń dostawców dystrybucji Linux w celu aktualizacji odnośnych pakietów, w poprawnej kolejności, do najnowszych wersji dostarczonych przez dostawcę dystrybucji Linux.

Q: Używam Linux. Jak sprawdzić, czy w systemie jest włączona funkcja bezpiecznego uruchamiania?
A: Aby zweryfikować stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:     
/Q Po zainstalowaniu poprawek w ramach doradców dystrybucji Linux nie uruchamia się już system.
A: Jeśli po zastosowaniu aktualizacji Linux dystrybucyjnej nastąpi awaria bezpiecznego rozruchu, użyj jednej z następujących opcji, aby wykonać następujące czynności:     

• Uruchom DVD ratunkowe i spróbuj ponownie zainstalować poprzednią wersję podkładki, grub2 i jądra.
• Zresetuj bazę danych BIOS DBX do fabrycznej wartości domyślnej i Usuń wszelkie zastosowane aktualizacje (z systemu operacyjnego lub z innych źródeł) za pomocą następującej procedury:

/Q Skonfigurowałem serwer Dell, aby nie korzystał z certyfikatu publicznego UEFI CA w zabezpieczonej bazie danych podpisów bezpiecznego rozruchu (DB). Czy serwer Dell nadal podatny na ataki GRUB2?
A: Nie, po wykonaniu tej czynności zostanie wdrożona funkcja UEFI Dostosowywanie bezpiecznego rozruchu a system nie jest już podatny na aktualnie znane usterki (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )

Q: Jak wyświetlić informacje dotyczące zabezpieczonej bazy danych podpisów bezpiecznego uruchamiania serwera?
A: Prosimy o zapoznanie się z niniejszym dokumentem. Można to zrobić za pomocą programu RACADM, WS-MAN, WINRM, karmazynowego i BIOS F2, w zależności od konfiguracji kontroli dostępu. 


Dodatkowe źródła:     
Dodatkowe informacje na temat usterek GRUB2 znajdują się w sekcji Dell EMC PowerEdge Servers: Dodatkowe informacje na temat usterki GRUB2 — "BootHole"