Dell PowerEdge-Server: Weitere Informationen zur Offenlegung der Sicherheitslücke im März 2021 (GRUB)
Summary: Sicherheitslücken in GRUB (Grand Unified Bootloader) können eine Umgehung des sicheren Starts ermöglichen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Betroffene Produkte:
Dell PowerEdge-Server und genutzte Plattformen
Details
Referenz:
Die Hinweise des Betriebssystemanbieters finden Sie im folgenden Dell Sicherheitshinweis. Siehe Wissensdatenbank-Artikel 183699: DSN-2021-002 Dell Antwort auf die Offenlegung der Grub2-Sicherheitslücke vom 2. März 2021
Recommendations
Häufig gestellte Fragen (FAQs):
Frage: Welche Plattformen sind betroffen?
Antwort: Dell PowerEdge-Server und genutzte Plattformen, für die UEFI Secure Boot aktiviert ist, sind betroffen. Dell empfiehlt Kunden, die Ratgeber ihres Betriebssystemanbieters zu lesen, um weitere Informationen zu erhalten, einschließlich geeigneter Identifizierungs- und zusätzlicher Risikominderungsmaßnahmen.
Der Kunde sollte die Best Practices für die Sicherheit befolgen und unbefugten physischen Zugriff auf Geräte verhindern. Der Kunde kann auch die folgenden Maßnahmen ergreifen, um sich weiter vor physischen Angriffen zu schützen.
Antwort: Ja. Windows-Betriebssysteme sind betroffen. Ein böswilliger Akteur, der physischen Zugriff auf die Plattform oder BS-Administratorrechte hat, kann eine anfällige GRUB UEFI-Binär- und Startzeit-Malware laden. Siehe: ADV200011 – Leitfaden für Sicherheitsupdates – Microsoft – Microsoft-Leitfaden zur Umgehung von Sicherheitsfunktionen in GRUB
Frage: Ich verwende das Betriebssystem VMware ESXi. Bin ich betroffen?
EIN. Siehe: VMware-Reaktion auf GRUB2-Sicherheitslücke
Frage: Was muss ich tun, um diese Sicherheitslücke zu schließen?
Antwort: GRUB-Patch - Als Teil der Hinweise von Linux-Betriebssystemanbietern wird erwartet, dass sie aktualisierte GRUB-Binärdateien oder in einigen Fällen auch Kernel-Updates bereitstellen. Wir empfehlen Ihnen, die veröffentlichten Empfehlungen der Linux-Distributionsanbieter zu befolgen, um die betroffenen Pakete in der richtigen Reihenfolge auf die neuesten Versionen zu aktualisieren, die vom Linux-Distributionsanbieter bereitgestellt werden.
Frage: Ich verwende Linux. Woher weiß ich, ob Secure Boot auf meinem System aktiviert ist?
Antwort: Um den Secure Boot-Status Ihres Systems zu überprüfen, verwenden Sie den folgenden BS-Befehl:
UEFI-Start ist deaktiviert. Secure Boot ist deaktiviert:
UEFI-Start ist aktiviert. Secure Boot ist deaktiviert:
Secure Boot ist aktiviert:
Frage: Ich habe die Patches gemäß den Linux-Distributionsempfehlungen installiert, aber mein System startet nicht mehr.
Ein: Wenn Secure Boot nach dem Anwenden der Updates des Linux-Distributionsanbieters fehlschlägt, verwenden Sie eine der folgenden Optionen zur Wiederherstellung:
Warnung: Sobald Ihre dbx-Datenbank auf die Werkseinstellungen zurückgesetzt wurde, wird Ihr System nicht mehr gepatcht und ist anfällig für diese und alle anderen Schwachstellen, die in späteren Updates behoben werden.
Frage: Ich habe meinen Dell Server so konfiguriert, dass er das öffentliche UEFI-CA-Zertifikat in der Secure Boot Authorized Signature Database (db) nicht verwendet. Ist mein Dell Server immer noch anfällig für GRUB2-Angriffe?
Antwort: Nein, sobald Sie dies getan haben, haben Sie die UEFI Secure Boot Customization-Funktion implementiert und Ihr System ist nicht mehr anfällig für die derzeit bekannten Schwachstellen (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 und CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Wie kann ich anzeigen, was sich in der Secure Boot Authorized Signature Database (db) meines Servers befindet?
Antwort: Bitte lesen Sie dieses Dokument hier. Sie können dies über das RACADM-, WS-MAN-, WINRM-, Redfish- und BIOS-F2-Setup tun, je nachdem, wie Sie die Zugriffskontrolle konfiguriert haben.
Weitere Referenzen:
Weitere Informationen zu GRUB2-Sicherheitslücken finden Sie unter Dell EMC PowerEdge-Server: Weitere Informationen zur GRUB2-Sicherheitslücke "bootHole"
Frage: Welche Plattformen sind betroffen?
Antwort: Dell PowerEdge-Server und genutzte Plattformen, für die UEFI Secure Boot aktiviert ist, sind betroffen. Dell empfiehlt Kunden, die Ratgeber ihres Betriebssystemanbieters zu lesen, um weitere Informationen zu erhalten, einschließlich geeigneter Identifizierungs- und zusätzlicher Risikominderungsmaßnahmen.
Der Kunde sollte die Best Practices für die Sicherheit befolgen und unbefugten physischen Zugriff auf Geräte verhindern. Der Kunde kann auch die folgenden Maßnahmen ergreifen, um sich weiter vor physischen Angriffen zu schützen.
- Stellen Sie das BIOS-Administratorkennwort ein, um Änderungen an der BIOS-Setup-Konfiguration zu verhindern, z. B. des Startgeräts und des Secure Boot-Modus.
- Konfigurieren Sie die Starteinstellungen so, dass nur über das interne Startgerät gestartet werden kann.
Antwort: Ja. Windows-Betriebssysteme sind betroffen. Ein böswilliger Akteur, der physischen Zugriff auf die Plattform oder BS-Administratorrechte hat, kann eine anfällige GRUB UEFI-Binär- und Startzeit-Malware laden. Siehe: ADV200011 – Leitfaden für Sicherheitsupdates – Microsoft – Microsoft-Leitfaden zur Umgehung von Sicherheitsfunktionen in GRUB
Frage: Ich verwende das Betriebssystem VMware ESXi. Bin ich betroffen?
EIN. Siehe: VMware-Reaktion auf GRUB2-Sicherheitslücke
Frage: Was muss ich tun, um diese Sicherheitslücke zu schließen?
Antwort: GRUB-Patch - Als Teil der Hinweise von Linux-Betriebssystemanbietern wird erwartet, dass sie aktualisierte GRUB-Binärdateien oder in einigen Fällen auch Kernel-Updates bereitstellen. Wir empfehlen Ihnen, die veröffentlichten Empfehlungen der Linux-Distributionsanbieter zu befolgen, um die betroffenen Pakete in der richtigen Reihenfolge auf die neuesten Versionen zu aktualisieren, die vom Linux-Distributionsanbieter bereitgestellt werden.
Frage: Ich verwende Linux. Woher weiß ich, ob Secure Boot auf meinem System aktiviert ist?
Antwort: Um den Secure Boot-Status Ihres Systems zu überprüfen, verwenden Sie den folgenden BS-Befehl:
UEFI-Start ist deaktiviert. Secure Boot ist deaktiviert:
# mokutil --sb-state
EFI-Variablen werden auf diesem System nicht unterstützt
EFI-Variablen werden auf diesem System nicht unterstützt
UEFI-Start ist aktiviert. Secure Boot ist deaktiviert:
# mokutil --sb-state
SecureBoot deaktiviert
SecureBoot deaktiviert
Secure Boot ist aktiviert:
# mokutil --sb-state
SecureBoot aktiviert
SecureBoot aktiviert
Frage: Ich habe die Patches gemäß den Linux-Distributionsempfehlungen installiert, aber mein System startet nicht mehr.
Ein: Wenn Secure Boot nach dem Anwenden der Updates des Linux-Distributionsanbieters fehlschlägt, verwenden Sie eine der folgenden Optionen zur Wiederherstellung:
- Starten Sie eine Rettungs-DVD und versuchen Sie, die vorherige Version von shim, grub2 und kernel neu zu installieren.
- Setzen Sie die BIOS-dbx-Datenbank auf den werkseitigen Standardwert zurück und entfernen Sie alle von dbx angewendeten Updates (entweder vom Betriebssystemanbieter oder auf andere Weise) mithilfe des folgenden Verfahrens:
1. Rufen Sie das BIOS-Setup auf (F2)
2. Wählen Sie "Systemsicherheit"
3. Legen Sie "Secure Boot-Policy" auf "Custom"
fest. 4. Wählen Sie "Secure Boot Custom Policy Settings"
5. Wählen Sie "Forbidden Signature Database (dbx)"
6. Wählen Sie "Restore Default Forbidden Signature Database" -> "Ja" -> "OK"
7. Legen Sie "Secure Boot Policy" auf "Standard"
fest. 8. Speichern und beenden
2. Wählen Sie "Systemsicherheit"
3. Legen Sie "Secure Boot-Policy" auf "Custom"
fest. 4. Wählen Sie "Secure Boot Custom Policy Settings"
5. Wählen Sie "Forbidden Signature Database (dbx)"
6. Wählen Sie "Restore Default Forbidden Signature Database" -> "Ja" -> "OK"
7. Legen Sie "Secure Boot Policy" auf "Standard"
fest. 8. Speichern und beenden
Warnung: Sobald Ihre dbx-Datenbank auf die Werkseinstellungen zurückgesetzt wurde, wird Ihr System nicht mehr gepatcht und ist anfällig für diese und alle anderen Schwachstellen, die in späteren Updates behoben werden.
Frage: Ich habe meinen Dell Server so konfiguriert, dass er das öffentliche UEFI-CA-Zertifikat in der Secure Boot Authorized Signature Database (db) nicht verwendet. Ist mein Dell Server immer noch anfällig für GRUB2-Angriffe?
Antwort: Nein, sobald Sie dies getan haben, haben Sie die UEFI Secure Boot Customization-Funktion implementiert und Ihr System ist nicht mehr anfällig für die derzeit bekannten Schwachstellen (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 und CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Wie kann ich anzeigen, was sich in der Secure Boot Authorized Signature Database (db) meines Servers befindet?
Antwort: Bitte lesen Sie dieses Dokument hier. Sie können dies über das RACADM-, WS-MAN-, WINRM-, Redfish- und BIOS-F2-Setup tun, je nachdem, wie Sie die Zugriffskontrolle konfiguriert haben.
Weitere Referenzen:
Weitere Informationen zu GRUB2-Sicherheitslücken finden Sie unter Dell EMC PowerEdge-Server: Weitere Informationen zur GRUB2-Sicherheitslücke "bootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.