CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Najczęściej zadawane pytania:
/Q
Których modeli dotyczy problem?Odpowiedź: Zagrożone są tylko Dell Serwery PowerEdge i platformy, z których UEFI bezpieczne uruchomienie są włączone. Dell zaleca klientom zapoznanie się z klasyfikatorami systemu operacyjnego w celu uzyskania dalszych informacji, w tym odpowiednich identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i uniemożliwiać fizyczny dostęp do urządzeń. Klient może również podjąć następujące środki w celu dalszego chronienia się przed fizycznymi atakami.
- Ustawienie hasła administratora systemu BIOS zapobiega zmianom konfiguracji systemu BIOS, takich jak urządzenie startowe i tryb bezpiecznego uruchamiania.
- Konfiguracja ustawień rozruchu zezwala na uruchamianie tylko wewnętrznego urządzenia startowego.
/Q Używam Windows systemu operacyjnego. Mam do mnie wpływ?
A: Tak. Windows systemy operacyjne są zagrożone. Aktor niebezpieczny, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może ładować zagrożoną GRUB UEFIą binarną i w czasie rozruchu złośliwe oprogramowanie. Patrz
ADV200011 — Instrukcja aktualizacji zabezpieczeń-Microsoft-Microsoft wskazówki dotyczące rozwiązywania funkcji bezpieczeństwa obejście w grub
Q: Używam systemu operacyjnego VMWare ESXi. Mam do mnie wpływ?
A. Patrz
VMware odpowiedzi na GRUB2 zabezpieczeń
Q: Co należy zrobić, aby rozwiązać tę lukę?
A: GRUB poprawka – w ramach doradców producentów systemów operacyjnych Linux oczekuje się, że zostały zaktualizowane GRUB pliki binarne lub w niektórych przypadkach również aktualizacje jądra. Firma Microsoft zachęca do wykonania opublikowanych zaleceń dostawców dystrybucji Linux w celu aktualizacji odnośnych pakietów, w poprawnej kolejności, do najnowszych wersji dostarczonych przez dostawcę dystrybucji Linux.
Q: Używam Linux. Jak sprawdzić, czy w systemie jest włączona funkcja bezpiecznego uruchamiania?
A: Aby zweryfikować stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:
UEFI boot jest wyłączona; Opcja Secure Boot (bezpieczne uruchamianie) jest wyłączona:
# mokutil--stanowa
EFI zmienne EFI nie są obsługiwane w tym systemie.
UEFI boot (uruchamianie) jest włączony; Opcja Secure Boot (bezpieczne uruchamianie) jest wyłączona:
# mokutil--funkcja
SecureBoot
Opcja Secure Boot (bezpieczne uruchamianie) jest włączona:
# mokutil--
funkcja SecureBoot
/Q Po zainstalowaniu poprawek w ramach doradców dystrybucji Linux nie uruchamia się już system.
A: Jeśli po zastosowaniu aktualizacji Linux dystrybucyjnej nastąpi awaria bezpiecznego rozruchu, użyj jednej z następujących opcji, aby wykonać następujące czynności:
- Uruchom DVD ratunkowe i spróbuj ponownie zainstalować poprzednią wersję podkładki, grub2 i jądra.
- Zresetuj bazę danych BIOS DBX do fabrycznej wartości domyślnej i Usuń wszelkie zastosowane aktualizacje (z systemu operacyjnego lub z innych źródeł) za pomocą następującej procedury:
1. Przejdź do konfiguracji systemu BIOS (F2)
2. Wybierz pozycję "zabezpieczenia systemu"
3. Ustaw "zasady bezpiecznego rozruchu" na "niestandardowy"
4. Wybierz opcję "bezpieczne uruchomienie niestandardowe ustawienia zasad"
5. Wybierz opcję "odmowa bazy danych podpisu" (DBX) "
6. Wybierz opcję "Przywróć domyślną bazę danych podpisu" — > "yes" (tak)-> "OK"
7. Ustaw "zasady bezpiecznego uruchamiania" na "standardowy"
8. Zapisz i zamknij
Ostrzeżenie: Po zresetowaniu bazy danych DBX do ustawień fabrycznych system nie będzie już naprawiany i jest narażony na takie działanie, a wszelkie inne usterki są korygowane w późniejszych aktualizacjach.
/Q Skonfigurowałem serwer Dell, aby nie korzystał z certyfikatu publicznego UEFI CA w zabezpieczonej bazie danych podpisów bezpiecznego rozruchu (DB). Czy serwer Dell nadal podatny na ataki GRUB2?
A: Nie, po wykonaniu tej czynności zostanie wdrożona funkcja UEFI Dostosowywanie bezpiecznego rozruchu a system nie jest już podatny na aktualnie znane usterki (
CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i
CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Jak wyświetlić informacje dotyczące zabezpieczonej bazy danych podpisów bezpiecznego uruchamiania serwera?
A: Prosimy o zapoznanie się z
niniejszym dokumentem. Można to zrobić za pomocą programu RACADM, WS-MAN, WINRM, karmazynowego i BIOS F2, w zależności od konfiguracji kontroli dostępu.
Dodatkowe źródła:
Dodatkowe informacje na temat usterek GRUB2 znajdują się w sekcji
Dell EMC PowerEdge Servers: Dodatkowe informacje na temat usterki GRUB2 — "BootHole"