Dell PowerEdge-servere: Yderligere oplysninger om sårbarhedsafsløring fra marts 2021 (GRUB)
Summary: Sårbarheder i GRUB (Grand Unified Bootloader) kan tillade omgåelse af sikker opstart.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Berørte produkter:
Dell PowerEdge-servere og platforme med gearing
Details
Reference:
Operativsystemudbyderens meddelelser findes i følgende sikkerhedsmeddelelse fra Dell. Se KB-artiklen 183699: DSN-2021-002 Dells svar på Grub2-afsløringen af sårbarheder den 2. marts 2021
Recommendations
Ofte stillede spørgsmål:
Sp: Hvilke platforme er berørt?
Svar: Dell PowerEdge-servere og platforme, der har UEFI Secure Boot aktiveret, er berørt. Dell anbefaler, at kunderne gennemgår operativsystemudbyderens bulletiner for at få yderligere oplysninger, herunder passende identifikation og yderligere afhjælpningsforanstaltninger.
Kunden bør følge bedste praksis for sikkerhed og forhindre uautoriseret fysisk adgang til enhederne. Kunden kan også træffe følgende foranstaltninger for yderligere at beskytte sig mod fysiske angreb.
Svar: Ja. Windows-operativsystemer er berørt. En ondsindet aktør, der har fysisk adgang til platformen eller OS-administratorrettigheder, kan indlæse en sårbar GRUB UEFI-binær og opstartstidsmalware. Se: ADV200011 - Vejledning til sikkerhedsopdateringer - Microsoft - Microsoft Vejledning til håndtering af sikkerhedsfunktionsforbigåelse i GRUB
Sp: Jeg bruger VMWare ESXi-operativsystemet. Er jeg påvirket?
A. Se: VMware-svar på GRUB2-sikkerhedssårbarhed
Sp: Hvad skal jeg gøre for at afhjælpe denne sårbarhed?
Svar: GRUB-patch - Som en del af Linux-operativsystemleverandørers rådgivning forventes de også at udrulle opdaterede GRUB-binære filer eller i nogle tilfælde kerneopdateringer. Vi opfordrer dig til at følge de offentliggjorte anbefalinger fra Linux-distributionsleverandørerne for at opdatere de berørte pakker i den rigtige rækkefølge til de nyeste versioner leveret af Linux-distributionsleverandøren.
Sp: Jeg kører Linux. Hvordan ved jeg, om jeg har Secure Boot aktiveret på mit system?
Svar: Brug følgende OS-kommando til at kontrollere systemets Secure Boot-status:
UEFI-opstart er deaktiveret; Sikker start er deaktiveret:
UEFI-opstart er aktiveret; Sikker start er deaktiveret:
Sikker start er aktiveret:
Sp: Jeg installerede programrettelserne efter Linux' distributionsvejledninger, men mit system starter ikke længere.
En: Hvis Secure Boot mislykkes efter anvendelse af opdateringer fra Linux-distributionsleverandøren, skal du bruge en af følgende muligheder for at gendanne:
Advarsel: Når din dbx-database er nulstillet til fabriksindstillingerne, er dit system ikke længere patched, og er sårbart over for disse og andre sårbarheder, der afhjælpes i senere opdateringer.
Sp: Jeg har konfigureret min Dell-server, så den ikke bruger det offentlige UEFI CA-certifikat i Secure Boot Authorized Signature Database (db). Er min Dell-server stadig modtagelig for GRUB2-angreb?
Svar: Nej, når du har gjort dette, har du implementeret UEFI Secure Boot Customization-funktionen, og dit system er ikke længere modtageligt for de aktuelt kendte sårbarheder (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hvordan kan jeg se, hvad der er i min servers Secure Boot Authorized Signature Database (db)?
Svar: Læs dette dokument her. Du kan gøre dette via RACADM, WS-MAN, WINRM, Redfish og BIOS F2 Setup, afhængigt af hvordan du har konfigureret adgangskontrol.
Yderligere referencer:
Du kan finde flere oplysninger om GRUB2-sårbarheder i Dell EMC PowerEdge-servere: Yderligere oplysninger om GRUB2-sårbarheden – "BootHole"
Sp: Hvilke platforme er berørt?
Svar: Dell PowerEdge-servere og platforme, der har UEFI Secure Boot aktiveret, er berørt. Dell anbefaler, at kunderne gennemgår operativsystemudbyderens bulletiner for at få yderligere oplysninger, herunder passende identifikation og yderligere afhjælpningsforanstaltninger.
Kunden bør følge bedste praksis for sikkerhed og forhindre uautoriseret fysisk adgang til enhederne. Kunden kan også træffe følgende foranstaltninger for yderligere at beskytte sig mod fysiske angreb.
- Indstil BIOS-administratoradgangskode for at forhindre ændringer af BIOS-opsætningskonfigurationen, såsom startenheden, og sikker boot-tilstand.
- Konfigurer startindstillinger til kun at tillade opstart til den interne startenhed.
Svar: Ja. Windows-operativsystemer er berørt. En ondsindet aktør, der har fysisk adgang til platformen eller OS-administratorrettigheder, kan indlæse en sårbar GRUB UEFI-binær og opstartstidsmalware. Se: ADV200011 - Vejledning til sikkerhedsopdateringer - Microsoft - Microsoft Vejledning til håndtering af sikkerhedsfunktionsforbigåelse i GRUB
Sp: Jeg bruger VMWare ESXi-operativsystemet. Er jeg påvirket?
A. Se: VMware-svar på GRUB2-sikkerhedssårbarhed
Sp: Hvad skal jeg gøre for at afhjælpe denne sårbarhed?
Svar: GRUB-patch - Som en del af Linux-operativsystemleverandørers rådgivning forventes de også at udrulle opdaterede GRUB-binære filer eller i nogle tilfælde kerneopdateringer. Vi opfordrer dig til at følge de offentliggjorte anbefalinger fra Linux-distributionsleverandørerne for at opdatere de berørte pakker i den rigtige rækkefølge til de nyeste versioner leveret af Linux-distributionsleverandøren.
Sp: Jeg kører Linux. Hvordan ved jeg, om jeg har Secure Boot aktiveret på mit system?
Svar: Brug følgende OS-kommando til at kontrollere systemets Secure Boot-status:
UEFI-opstart er deaktiveret; Sikker start er deaktiveret:
# mokutil --sb-state
EFI-variabler understøttes ikke på dette system
EFI-variabler understøttes ikke på dette system
UEFI-opstart er aktiveret; Sikker start er deaktiveret:
# mokutil --sb-state
SecureBoot deaktiveret
SecureBoot deaktiveret
Sikker start er aktiveret:
# mokutil --sb-state
SecureBoot aktiveret
SecureBoot aktiveret
Sp: Jeg installerede programrettelserne efter Linux' distributionsvejledninger, men mit system starter ikke længere.
En: Hvis Secure Boot mislykkes efter anvendelse af opdateringer fra Linux-distributionsleverandøren, skal du bruge en af følgende muligheder for at gendanne:
- Start op på en rednings-dvd, og forsøg at geninstallere den tidligere version af shim, grub2 og kerne.
- Nulstil BIOS dbx-databasen til fabriksstandardværdien, og fjern alle dbx-anvendte opdateringer (enten fra OS-leverandøren eller på anden måde) ved hjælp af følgende procedure:
1. Åbning af BIOS-opsætning (F2)
2. Vælg "Systemsikkerhed"
3. Indstil "Politik for sikker start" til "Brugerdefineret"
4. Vælg "Custom Policy Settings for sikker start"
5. Vælg "Forbidden Signature Database (dbx)"
6. Vælg "Gendan standard forbudt signaturdatabase" -> "Ja" -> "OK"
7. Indstil "Politik for sikker start" til "Standard"
8. Gem og afslut
2. Vælg "Systemsikkerhed"
3. Indstil "Politik for sikker start" til "Brugerdefineret"
4. Vælg "Custom Policy Settings for sikker start"
5. Vælg "Forbidden Signature Database (dbx)"
6. Vælg "Gendan standard forbudt signaturdatabase" -> "Ja" -> "OK"
7. Indstil "Politik for sikker start" til "Standard"
8. Gem og afslut
Advarsel: Når din dbx-database er nulstillet til fabriksindstillingerne, er dit system ikke længere patched, og er sårbart over for disse og andre sårbarheder, der afhjælpes i senere opdateringer.
Sp: Jeg har konfigureret min Dell-server, så den ikke bruger det offentlige UEFI CA-certifikat i Secure Boot Authorized Signature Database (db). Er min Dell-server stadig modtagelig for GRUB2-angreb?
Svar: Nej, når du har gjort dette, har du implementeret UEFI Secure Boot Customization-funktionen, og dit system er ikke længere modtageligt for de aktuelt kendte sårbarheder (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hvordan kan jeg se, hvad der er i min servers Secure Boot Authorized Signature Database (db)?
Svar: Læs dette dokument her. Du kan gøre dette via RACADM, WS-MAN, WINRM, Redfish og BIOS F2 Setup, afhængigt af hvordan du har konfigureret adgangskontrol.
Yderligere referencer:
Du kan finde flere oplysninger om GRUB2-sårbarheder i Dell EMC PowerEdge-servere: Yderligere oplysninger om GRUB2-sårbarheden – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.