CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
常见问题:
Q
哪些型号会受到影响?答:Dell PowerEdge 服务器和使用启用了 UEFI 安全引导的平台会受到影响。Dell 建议客户查看其操作系统提供商的公告,了解详细信息,包括适当的识别和其他缓解措施。
客户应遵循安全最佳做法,并防止未经授权的物理访问设备。客户还可以采取以下措施来进一步保护自己的物理攻击。
- 设置 BIOS 管理员密码以防止改变 BIOS 设置配置,例如引导设备和安全引导模式。
- 将引导设置配置为仅允许引导至内部引导设备。
Q我使用 Windows 的操作系统。我会受到影响吗?
A:可以。Windows 的操作系统会受到影响。可物理访问平台或操作系统管理员权限的恶意参与者可能会加载易受攻击的 GRUB UEFI 二进制文件和引导时间恶意软件。请参阅“
ADV200011-安全更新指南— Microsoft-Microsoft 指南,用于在 GRUB
中寻址安全功能旁路
问:我使用 VMWare ESXi 操作系统。我会受到影响吗?
A。请参阅“
VMware 响应 grub2-set-default 安全漏洞
问:为解决此漏洞需要执行什么操作?
A:GRUB 修补程序—作为 Linux 操作系统供应商的建议的一部分,预计将更新的 GRUB 二进制文件或某些情况下的内核更新。我们建议您遵循 Linux 分销供应商发布的建议,以正确的顺序将受影响的产品包更新至 Linux 分销供应商提供的最新版本。
问:我正在运行 Linux。如何知道我的系统上是否已启用安全引导?
A:要验证您的系统的安全引导状态,请使用以下操作系统命令:
已禁用 UEFI Boot;已禁用安全引导:
# mokutil--sb-state
EFI 变量在此系统上不受支持
已启用 UEFI Boot;已禁用安全引导:
# mokutil--sb-state
SecureBoot disabled
已启用安全引导:
# mokutil--sb-state
SecureBoot 已启用
Q我安装了 Linux 分发公告后的修补程序,但我的系统不再启动。
A:如果在应用 Linux 分发供应商的更新后,安全引导失败,请使用以下选项之一来恢复:
- 引导至修复 DVD 并尝试重新安装先前版本的垫片、grub2-set-default 和内核。
- 使用以下步骤将 BIOS .dbx 数据库重设为出厂默认值,并删除所有已应用的软件更新(通过操作系统供应商或其他方式):
1. 进入 BIOS 设置程序(F2)
2。 选择 "系统安全性"
3。 将 "安全引导策略" 设置为 "自定义"
4。 选择 "安全引导自定义策略设置"
5。 选择 "已禁止签名数据库(.dbx)"
6。 选择 "Restore Default 禁止签名数据库"-> "Yes"-> "OK"
7。 将 "安全引导策略" 设置为 "Standard"
8。 保存并退出
警告:在将您的 .dbx 数据库重设为出厂默认设置后,您的系统将不再经过修补,并且不易受这些漏洞影响,并在以后的更新中修正。
Q我已配置 Dell 服务器,使其不会在安全引导授权签名数据库(db)中使用公共 UEFI CA 证书。我的 Dell 服务器是否仍然容易受到 GRUB2-SET-DEFAULT 攻击?
A:否。完成此操作后,您将实施 UEFI 安全引导自定义功能,并且您的系统不再受到当前已知的漏洞(
cve-2020-14372、cve-2020-25632、cve-2020-25647、cve-2020-27749、cve-2020-27779、cve-2021-20225、cve-2021-20233 、cve-
2020-10713、cve -2020-14308、cve-2020-14309、cve-2020-14310) Q 的影响
:如何查看服务器的安全引导授权签名数据库(db)中的内容?
A:请
在此处查看本文档。您可以通过 RACADM、WS MAN、WINRM、Redfish 和 BIOS F2 设置完成此操作,具体取决于您已配置访问控制的方式。
其他参考资料:
有关 GRUB2-SET-DEFAULT 漏洞的更多详细信息,请参阅
Dell EMC PowerEdge 服务器:有关 GRUB2-SET-DEFAULT 漏洞的其他信息— "BootHole"