Серверы Dell PowerEdge Дополнительная информация о расразглашении уязвимости в марте 2021 (GRUB)

Часто задаваемые вопросы        

/Q Какие модели подвержены этой уязвимости?О: Зависят от Dell PowerEdge серверов и совместимых платформ, на которых активирована UEFI безопасная загрузка. Dell рекомендует, чтобы заказчики Просмотрели рекомендации поставщика своих операционных систем для получения дополнительной информации, в том числе правильная идентификация и дополнительные меры по их устранению.
Заказчик должен соблюдать передовые практики рекомендации по безопасности и предотвращать несанкционированный физический доступ к устройствам. Заказчик также может предпринять следующие меры, чтобы обеспечить защиту от физических атак.

1. Настройте пароль администратора BIOS для предотвращения изменения конфигурации настройки BIOS, например загрузочного устройства, и режима безопасной загрузки.
2. Настройте параметры загрузки, чтобы разрешить загрузку только на внутреннем устройстве загрузки.

/Q Я использую операционную систему Windows. Влияет ли я на это?
А. Да. Влияние на операционные системы Windows. Вредоносный субъект, имеющий физический доступ к платформе или права администратора ОС, может загрузить вредоносное по UEFI двоичное и загрузочное программное обеспечение на этапе загрузки. См.  ADV200011 — руководство по обновлению системы безопасности — Microsoft — Microsoft руководство по устранению проблем функции безопасности в GRUB

Вопрос. Я использую VMWare ESXi операционной системы. Влияет ли я на это?
А. См. VMware ответ на уязвимость

системы безопасности grub2 Вопрос. Что необходимо сделать для устранения этой уязвимости?
А. Пакет исправлений GRUB — как часть советников по работе с Linux разработчиков операционных систем, ожидается откат обновленных двоичных файлов GRUB или в некоторых случаях обновления ядра также могут быть обновлены. Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков по дистрибуции Linux, чтобы обновить уязвимые пакеты в нужном порядке до последних версий, предоставленных поставщиком распределения Linux.

Вопрос. Я работаю с Linux. Как узнать, включена ли безопасная загрузка в системе?
А. Чтобы проверить состояние безопасной загрузки системы, используйте следующую команду операционной системы:     
/Q После установки исправлений по истечении Linux рекомендации по дистрибуции, но система больше не загружается.
А. В случае сбоя безопасной загрузки после применения обновлений поставщика распределения Linux используйте один из следующих вариантов для восстановления:     

• Загрузитесь с помощь DVD и попытайтесь переустановить предыдущую версию оболочки совместимости, grub2 и ядра.
• Сбросьте базу данных BIOS dbx в заводское значение по умолчанию и удалите все применяемые обновления dbx (от производителя ОС или других средств), используя следующую процедуру.

/Q Я настроил Dellный сервер таким образом, чтобы он не использовал сертификат ЦС публичного UEFI в базе данных безопасной загрузки с авторизованной подписью (DB). Может ли мой сервер Dell по-GRUB2 атакам на уязвимости?
А. Нет, после того как вы сделали это, вы будете использовать функцию настройки безопасной загрузки UEFI и система больше не подвержена воздействию текущих уязвимостей (CVE-2020-14372, CVE-2020-25632, CVE -2020-27779, CVE-2021-20225, CVE-2021-20233, CVE-2020-10713 2020-27749 2020-25647, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310 , CVE-2020-14311, CVE-2020-15705, CVE- 2020-15706)

Q: Как посмотреть, что находится в базе данных безопасной загрузки (DB) в моем сервере?
А. Пожалуйста , ознакомьтесьс документом. Это можно сделать с помощью программы настройки RACADM, WS-MAN, WINRM, Redfish и BIOS F2 в зависимости от того, как вы настроили контроль доступа. 


Дополнительные материалы     
Дополнительные сведения об уязвимостях GRUB2 см. в разделе Dell EMC PowerEdge серверы: Дополнительная информация об уязвимости GRUB2 — "Бусоле"