CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Часто задаваемые вопросы
/Q
Какие модели подвержены этой уязвимости?О: Зависят от Dell PowerEdge серверов и совместимых платформ, на которых активирована UEFI безопасная загрузка. Dell рекомендует, чтобы заказчики Просмотрели рекомендации поставщика своих операционных систем для получения дополнительной информации, в том числе правильная идентификация и дополнительные меры по их устранению.
Заказчик должен соблюдать передовые практики рекомендации по безопасности и предотвращать несанкционированный физический доступ к устройствам. Заказчик также может предпринять следующие меры, чтобы обеспечить защиту от физических атак.
- Настройте пароль администратора BIOS для предотвращения изменения конфигурации настройки BIOS, например загрузочного устройства, и режима безопасной загрузки.
- Настройте параметры загрузки, чтобы разрешить загрузку только на внутреннем устройстве загрузки.
/Q Я использую операционную систему Windows. Влияет ли я на это?
А. Да. Влияние на операционные системы Windows. Вредоносный субъект, имеющий физический доступ к платформе или права администратора ОС, может загрузить вредоносное по UEFI двоичное и загрузочное программное обеспечение на этапе загрузки. См.
ADV200011 — руководство по обновлению системы безопасности — Microsoft — Microsoft руководство по устранению проблем функции безопасности в GRUB
Вопрос. Я использую VMWare ESXi операционной системы. Влияет ли я на это?
А. См.
VMware ответ на уязвимость
системы безопасности grub2
Вопрос. Что необходимо сделать для устранения этой уязвимости?
А. Пакет исправлений GRUB — как часть советников по работе с Linux разработчиков операционных систем, ожидается откат обновленных двоичных файлов GRUB или в некоторых случаях обновления ядра также могут быть обновлены. Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков по дистрибуции Linux, чтобы обновить уязвимые пакеты в нужном порядке до последних версий, предоставленных поставщиком распределения Linux.
Вопрос. Я работаю с Linux. Как узнать, включена ли безопасная загрузка в системе?
А. Чтобы проверить состояние безопасной загрузки системы, используйте следующую команду операционной системы:
UEFI Загрузка отключена; Безопасная загрузка отключена.
# мокутил--
переменные EFI-State не поддерживаются в этой системе.
UEFI загрузка включена; Безопасная загрузка отключена.
# мокутил--SB-
секуребут Disabled
Безопасная загрузка включена.
# мокутил--SB-
секуребут Enabled
/Q После установки исправлений по истечении Linux рекомендации по дистрибуции, но система больше не загружается.
А. В случае сбоя безопасной загрузки после применения обновлений поставщика распределения Linux используйте один из следующих вариантов для восстановления:
- Загрузитесь с помощь DVD и попытайтесь переустановить предыдущую версию оболочки совместимости, grub2 и ядра.
- Сбросьте базу данных BIOS dbx в заводское значение по умолчанию и удалите все применяемые обновления dbx (от производителя ОС или других средств), используя следующую процедуру.
1. Войдите в программу настройки BIOS (F2)
2. Выберите "безопасность системы"
3. Присвоить параметру «политика безопасной загрузки» значения «Custom»
4. Выберите "Параметры безопасной загрузки Custom Policy"
5. Выберите «запрещенная база данных сигнатур (DBX)»
6. Выберите «восстановить базу данных с запрещенной подписью по умолчанию» — > «Да» — > «ОК»
7. Присвоить параметру «политика безопасной загрузки» значения «Стандартный»
8. Сохраните изменения и выйдите из системы.
Предупреждение. После того как база данных dbx будет восстановлена до заводских настроек по умолчанию, система не будет загружается, она будет подвержена этой уязвимости и любые другие уязвимости, исправленные в последующих обновлениях.
/Q Я настроил Dellный сервер таким образом, чтобы он не использовал сертификат ЦС публичного UEFI в базе данных безопасной загрузки с авторизованной подписью (DB). Может ли мой сервер Dell по-GRUB2 атакам на уязвимости?
А. Нет, после того как вы сделали это, вы будете использовать функцию настройки безопасной загрузки UEFI и система больше не подвержена воздействию текущих уязвимостей (
CVE-2020-14372, CVE-2020-25632, CVE -2020-27779, CVE-2021-20225, CVE-2021-20233, CVE-2020-10713 2020-27749 2020-25647, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310
, CVE-2020-14311, CVE-2020-15705, CVE- 2020-15706)
Q: Как посмотреть, что находится в базе данных безопасной загрузки (DB) в моем сервере?
А. Пожалуйста
, ознакомьтесьс документом. Это можно сделать с помощью программы настройки RACADM, WS-MAN, WINRM, Redfish и BIOS F2 в зависимости от того, как вы настроили контроль доступа.
Дополнительные материалы
Дополнительные сведения об уязвимостях GRUB2 см. в разделе
Dell EMC PowerEdge серверы: Дополнительная информация об уязвимости GRUB2 — "Бусоле"