Servery Dell PowerEdge: Další informace týkající se odhalení chyby zabezpečení (GRUB) z března 2021
Summary: Chyby zabezpečení v zavaděči GRUB (Grand Unified Bootloader) mohou umožnit obejití zabezpečeného spouštění.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Dotčené produkty:
Servery Dell PowerEdge a využívané platformy
Details
Odkaz:
Doporučení pro poskytovatele operačního systému naleznete v následujícím oznámení společnosti Dell o zabezpečení. Viz článek znalostní databáze 183699: DSN-2021-002 Odpověď společnosti Dell na odhalení chyby zabezpečení GRUB2 z 2. března 2021
Recommendations
Často kladené dotazy:
Otázka: Kterých platforem se to týká?
Odpověď: Problém se týká serverů Dell PowerEdge a využívaných platforem s povoleným zabezpečeným spouštěním UEFI. Společnost Dell doporučuje, aby si zákazníci prostudovali doporučení od svého poskytovatele operačního systému, kde najdou další informace, včetně vhodné identifikace a dalších opatření ke zmírnění dopadů.
Zákazník by měl dodržovat doporučené bezpečnostní postupy a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazník může také provést následující opatření, aby se dále chránil před fyzickými útoky.
Odpověď: Ano. Jsou dotčeny operační systémy Windows. Aktér se zlými úmysly, který má fyzický přístup k platformě nebo oprávnění správce operačního systému, může načíst zranitelný binární soubor GRUB UEFI a při spuštění malware. Viz: ADV200011 – Průvodce aktualizací zabezpečení – Microsoft – Pokyny společnosti Microsoft k řešení obejití funkce zabezpečení v nabídce GRUB
Otázka: Používám operační systém VMWare ESXi. Týká se mě to?
Odpověď. Viz: Reakce systému VMware na chybu
zabezpečení GRUB2Otázka: Co je třeba udělat, abych tuto chybu zabezpečení vyřešil?
Odpověď: Oprava GRUB – V rámci doporučení dodavatelů operačních systémů Linux se očekává, že zavedou aktualizované binární soubory GRUB nebo v některých případech také aktualizace jádra. Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.
Otázka: Používám Linux. Jak zjistím, zda mám v systému povoleno zabezpečené spouštění?
Odpověď: Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:
Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:
Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:
Bezpečné spouštění je povoleno:
Otázka: Nainstaloval jsem opravy podle distribučních doporučení pro Linux, ale systém se již nespouští.
Odpověď: Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:
Varování: Jakmile je vaše databáze dbx resetována na výchozí tovární nastavení, váš systém již není záplatován a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení napraveným v pozdějších aktualizacích.
Otázka: Nakonfiguroval(a) jsem server Dell tak, aby nepoužíval veřejný certifikát UEFI CA v databázi ověřených podpisů bezpečného spouštění (db). Je server Dell stále náchylný k útokům GRUB2?
Odpověď: Ne, jakmile to uděláte, implementujete funkci přizpůsobení bezpečného spouštění UEFI a váš systém již není náchylný k aktuálně známým chybám zabezpečení (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 a CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Otázka: Jak zobrazím, co je v databázi ověřených podpisů (db) bezpečného spouštění mého serveru?
Odpověď: Přečtěte si tento dokument zde. To lze provést prostřednictvím nástrojů RACADM, WS-MAN, WINRM, Redfish a BIOS F2 Setup, v závislosti na tom, jak jste nakonfigurovali řízení přístupu.
Další reference:
Další informace o chybách zabezpečení GRUB2 naleznete v článku Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"
Otázka: Kterých platforem se to týká?
Odpověď: Problém se týká serverů Dell PowerEdge a využívaných platforem s povoleným zabezpečeným spouštěním UEFI. Společnost Dell doporučuje, aby si zákazníci prostudovali doporučení od svého poskytovatele operačního systému, kde najdou další informace, včetně vhodné identifikace a dalších opatření ke zmírnění dopadů.
Zákazník by měl dodržovat doporučené bezpečnostní postupy a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazník může také provést následující opatření, aby se dále chránil před fyzickými útoky.
- Nastavte heslo správce systému BIOS, aby nedošlo ke změně konfigurace konfigurace nastavení systému BIOS, například spouštěcího zařízení a režimu zabezpečeného spouštění.
- Nakonfigurujte nastavení spouštění tak, aby bylo možné spouštět pouze z interního spouštěcího zařízení.
Odpověď: Ano. Jsou dotčeny operační systémy Windows. Aktér se zlými úmysly, který má fyzický přístup k platformě nebo oprávnění správce operačního systému, může načíst zranitelný binární soubor GRUB UEFI a při spuštění malware. Viz: ADV200011 – Průvodce aktualizací zabezpečení – Microsoft – Pokyny společnosti Microsoft k řešení obejití funkce zabezpečení v nabídce GRUB
Otázka: Používám operační systém VMWare ESXi. Týká se mě to?
Odpověď. Viz: Reakce systému VMware na chybu
zabezpečení GRUB2Otázka: Co je třeba udělat, abych tuto chybu zabezpečení vyřešil?
Odpověď: Oprava GRUB – V rámci doporučení dodavatelů operačních systémů Linux se očekává, že zavedou aktualizované binární soubory GRUB nebo v některých případech také aktualizace jádra. Doporučujeme vám postupovat podle publikovaných doporučení dodavatelů distribuce systému Linux a aktualizovat dotčené balíčky ve správném pořadí na nejnovější verze dodávané dodavatelem distribuce systému Linux.
Otázka: Používám Linux. Jak zjistím, zda mám v systému povoleno zabezpečené spouštění?
Odpověď: Chcete-li ověřit stav zabezpečeného spouštění systému, použijte následující příkaz operačního systému:
Spouštění UEFI je zakázáno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
Proměnné EFI nejsou na tomto systému podporovány
Proměnné EFI nejsou na tomto systému podporovány
Spouštění UEFI je povoleno; Bezpečné spouštění je zakázáno:
# mokutil --sb-state
SecureBoot zakázáno
SecureBoot zakázáno
Bezpečné spouštění je povoleno:
# mokutil --sb-state
Aktivováno funkce SecureBoot
Aktivováno funkce SecureBoot
Otázka: Nainstaloval jsem opravy podle distribučních doporučení pro Linux, ale systém se již nespouští.
Odpověď: Pokud se zabezpečené spouštění nezdaří po instalaci aktualizací od dodavatele distribuce Linuxu, proveďte obnovení pomocí jedné z následujících možností:
- Spusťte záchranné DVD a pokuste se přeinstalovat předchozí verzi shim, grub2 a jádra.
- Obnovte databázi dbx systému BIOS na výchozí tovární hodnotu a pomocí následujícího postupu odeberte všechny aktualizace dbx (od dodavatele operačního systému nebo jiným způsobem):
1. Přejděte do nastavení systému BIOS (F2)
2. Vyberte možnost "System Security"
3. Nastavte "Secure Boot Policy" na "Custom"
4. Vyberte možnost "Secure Boot Custom Policy Settings"
5. Vyberte "Forbidden Signature Database (dbx)"
6. Vyberte možnost "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Nastavte "Secure Boot Policy" na "Standardní"
8. Uložit a ukončit
2. Vyberte možnost "System Security"
3. Nastavte "Secure Boot Policy" na "Custom"
4. Vyberte možnost "Secure Boot Custom Policy Settings"
5. Vyberte "Forbidden Signature Database (dbx)"
6. Vyberte možnost "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Nastavte "Secure Boot Policy" na "Standardní"
8. Uložit a ukončit
Varování: Jakmile je vaše databáze dbx resetována na výchozí tovární nastavení, váš systém již není záplatován a je zranitelný vůči těmto a jakýmkoli dalším chybám zabezpečení napraveným v pozdějších aktualizacích.
Otázka: Nakonfiguroval(a) jsem server Dell tak, aby nepoužíval veřejný certifikát UEFI CA v databázi ověřených podpisů bezpečného spouštění (db). Je server Dell stále náchylný k útokům GRUB2?
Odpověď: Ne, jakmile to uděláte, implementujete funkci přizpůsobení bezpečného spouštění UEFI a váš systém již není náchylný k aktuálně známým chybám zabezpečení (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 a CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Otázka: Jak zobrazím, co je v databázi ověřených podpisů (db) bezpečného spouštění mého serveru?
Odpověď: Přečtěte si tento dokument zde. To lze provést prostřednictvím nástrojů RACADM, WS-MAN, WINRM, Redfish a BIOS F2 Setup, v závislosti na tom, jak jste nakonfigurovali řízení přístupu.
Další reference:
Další informace o chybách zabezpečení GRUB2 naleznete v článku Servery Dell EMC PowerEdge: Další informace o zranitelnosti GRUB2 – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.