Dell PowerEdge -palvelimet: Lisätietoja maaliskuun 2021 (GRUB) haavoittuvuusilmoituksesta
Summary: GRUB:n (Grand Unified Bootloader) haavoittuvuudet saattavat sallia suojatun käynnistyksen ohituksen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Tuotteet, joita asia koskee:
Dell PowerEdge -palvelimet ja niitä hyödyntävät alustat
Details
Viite:
Käyttöjärjestelmätoimittajan tiedotteet löytyvät seuraavasta Dellin tietoturvailmoituksesta. Lisätietoja on tietämyskannan artikkelissa 183699: DSN-2021-002 Dellin vastaus 2. maaliskuuta 2021 julkaistuun Grub2-haavoittuvuuden paljastukseen
Recommendations
Usein kysyttyjä kysymyksiä:
K: Mihin ympäristöihin tämä vaikuttaa?
V: Ongelma koskee Dell PowerEdge -palvelimia ja niitä hyödyntäviä alustoja, joissa on käytössä UEFI Secure Boot. Dell suosittelee, että asiakkaat tutustuvat käyttöjärjestelmän toimittajan tiedotteisiin ja pyytävät lisätietoja, kuten asianmukaisen tunnistamisen ja muita lieventäviä toimenpiteitä.
Asiakkaan on noudatettava parhaita tietoturvakäytäntöjä ja estettävä laitteiden luvaton fyysinen käyttö. Asiakas voi myös suojautua fyysisiltä hyökkäyksiltä seuraavilla tavoilla.
V: Kyllä. Ongelma koskee Windows-käyttöjärjestelmiä. Haitallinen toimija, jolla on fyysinen pääsy alustaan tai käyttöjärjestelmän järjestelmänvalvojan oikeudet, voi ladata haavoittuvan GRUB UEFI -binaari- ja käynnistysaikaisen haittaohjelman. Katso: ADV200011 - Tietoturvapäivitysopas - Microsoft - Microsoftin ohjeet GRUBin
suojausominaisuuksien ohituksen käsittelemiseenK: Käytän VMWare ESXi -käyttöjärjestelmää. Vaikuttaako tämä minuun?
A. Katso: VMwaren vastaus GRUB2-tietoturvahaavoittuvuuteen
K: Mitä minun on tehtävä tämän haavoittuvuuden korjaamiseksi?
V: GRUB-korjaus - Osana Linux-käyttöjärjestelmien toimittajien neuvoja heidän odotetaan julkaisevan päivitettyjä GRUB-binäärejä tai joissakin tapauksissa myös ytimen päivityksiä. Kehotamme sinua seuraamaan Linux-jakelutoimittajien julkaisemia suosituksia päivittääksesi kyseiset paketit asianmukaisessa järjestyksessä uusimpiin Linux-jakelutoimittajan toimittamiin versioihin.
K: Käytössäni on Linux. Mistä tiedän, onko suojattu käynnistys käytössä järjestelmässäni?
V: Voit tarkistaa järjestelmän suojatun käynnistyksen tilan seuraavalla käyttöjärjestelmän komennolla:
UEFI-käynnistys on poistettu käytöstä; Secure Boot is disabled:
UEFI-käynnistys on käytössä; Secure Boot is disabled:
Secure Boot on käytössä:
K: Asensin korjaustiedostot Linuxin jakelutiedotteiden mukaisesti, mutta järjestelmäni ei enää käynnisty.
V: Jos suojattu käynnistys epäonnistuu Linux-jakelutoimittajan päivitysten asentamisen jälkeen, käytä jotakin seuraavista tavoista palauttaaksesi:
Varoitus: Kun dbx-tietokanta on palautettu tehdasasetuksiin, järjestelmääsi ei enää korjata, ja se on alttiina näille ja muille haavoittuvuuksille, jotka korjataan myöhemmissä päivityksissä.
K: Olen määrittänyt Dell-palvelimen niin, että se ei käytä julkista UEFI CA -varmennetta Secure Boot Authorized Signature Database (db) -tietokannassa. Onko Dell-palvelimeni edelleen altis GRUB2-hyökkäyksille?
V: Ei, tämän jälkeen olet ottanut käyttöön UEFI Secure Boot Customization -ominaisuuden, eikä järjestelmä ole enää altis tunnetuille haavoittuvuuksille (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ja CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Miten voin tarkastella palvelimeni suojatun käynnistyksen valtuutettujen allekirjoitusten tietokannan (db) sisältöä?
V: Lue tämä asiakirja täältä. Voit tehdä tämän RACADM-, WS-MAN-, WINRM-, Redfish- ja BIOS F2 -asetusten kautta sen mukaan, miten olet määrittänyt käytönvalvonnan.
Lisätietoja:
Lisätietoja GRUB2-haavoittuvuuksista on Dell EMC PowerEdge -palvelimissa: Lisätietoja GRUB2-haavoittuvuudesta – "BootHole"
K: Mihin ympäristöihin tämä vaikuttaa?
V: Ongelma koskee Dell PowerEdge -palvelimia ja niitä hyödyntäviä alustoja, joissa on käytössä UEFI Secure Boot. Dell suosittelee, että asiakkaat tutustuvat käyttöjärjestelmän toimittajan tiedotteisiin ja pyytävät lisätietoja, kuten asianmukaisen tunnistamisen ja muita lieventäviä toimenpiteitä.
Asiakkaan on noudatettava parhaita tietoturvakäytäntöjä ja estettävä laitteiden luvaton fyysinen käyttö. Asiakas voi myös suojautua fyysisiltä hyökkäyksiltä seuraavilla tavoilla.
- Määrittämällä BIOS-järjestelmänvalvojan salasanan voit estää BIOS-määrityksen, kuten käynnistyslaitteen, ja Secure Boot -tilan muutokset.
- Määritä käynnistysasetukset sallimaan käynnistys vain sisäiseltä käynnistyslaitteelta.
V: Kyllä. Ongelma koskee Windows-käyttöjärjestelmiä. Haitallinen toimija, jolla on fyysinen pääsy alustaan tai käyttöjärjestelmän järjestelmänvalvojan oikeudet, voi ladata haavoittuvan GRUB UEFI -binaari- ja käynnistysaikaisen haittaohjelman. Katso: ADV200011 - Tietoturvapäivitysopas - Microsoft - Microsoftin ohjeet GRUBin
suojausominaisuuksien ohituksen käsittelemiseenK: Käytän VMWare ESXi -käyttöjärjestelmää. Vaikuttaako tämä minuun?
A. Katso: VMwaren vastaus GRUB2-tietoturvahaavoittuvuuteen
K: Mitä minun on tehtävä tämän haavoittuvuuden korjaamiseksi?
V: GRUB-korjaus - Osana Linux-käyttöjärjestelmien toimittajien neuvoja heidän odotetaan julkaisevan päivitettyjä GRUB-binäärejä tai joissakin tapauksissa myös ytimen päivityksiä. Kehotamme sinua seuraamaan Linux-jakelutoimittajien julkaisemia suosituksia päivittääksesi kyseiset paketit asianmukaisessa järjestyksessä uusimpiin Linux-jakelutoimittajan toimittamiin versioihin.
K: Käytössäni on Linux. Mistä tiedän, onko suojattu käynnistys käytössä järjestelmässäni?
V: Voit tarkistaa järjestelmän suojatun käynnistyksen tilan seuraavalla käyttöjärjestelmän komennolla:
UEFI-käynnistys on poistettu käytöstä; Secure Boot is disabled:
# mokutil --sb-state
EFI -muuttujia ei tueta tässä järjestelmässä
EFI -muuttujia ei tueta tässä järjestelmässä
UEFI-käynnistys on käytössä; Secure Boot is disabled:
# mokutil --sb-state
SecureBoot poistettu käytöstä
SecureBoot poistettu käytöstä
Secure Boot on käytössä:
# mokutil --sb-state
SecureBoot käytössä
SecureBoot käytössä
K: Asensin korjaustiedostot Linuxin jakelutiedotteiden mukaisesti, mutta järjestelmäni ei enää käynnisty.
V: Jos suojattu käynnistys epäonnistuu Linux-jakelutoimittajan päivitysten asentamisen jälkeen, käytä jotakin seuraavista tavoista palauttaaksesi:
- Käynnistä palautus-DVD:ltä ja yritä asentaa shimin, grub2:n ja ytimen aiempi versio uudelleen.
- Palauta BIOSin dbx-tietokanta tehdasasetuksiin ja poista kaikki asennetut dbx-päivitykset (joko käyttöjärjestelmän valmistajalta tai muulla tavalla) seuraavasti:
1. Siirry BIOS-asennusohjelmaan (F2)
2. Valitse "Järjestelmän suojaus"
3. Määritä Secure Boot Policy -asetukseksi Custom
4. Valitse "Suojatun käynnistyksen mukautetut käytäntöasetukset"
5. Valitse "Kiellettyjen allekirjoitusten tietokanta (dbx)"
6. Valitse "Palauta oletusarvoinen kiellettyjen allekirjoitusten tietokanta" -> "Kyllä" -> "OK"
7. Määritä Secure Boot Policy -asetukseksi Standard
8. Tallenna ja poistu
2. Valitse "Järjestelmän suojaus"
3. Määritä Secure Boot Policy -asetukseksi Custom
4. Valitse "Suojatun käynnistyksen mukautetut käytäntöasetukset"
5. Valitse "Kiellettyjen allekirjoitusten tietokanta (dbx)"
6. Valitse "Palauta oletusarvoinen kiellettyjen allekirjoitusten tietokanta" -> "Kyllä" -> "OK"
7. Määritä Secure Boot Policy -asetukseksi Standard
8. Tallenna ja poistu
Varoitus: Kun dbx-tietokanta on palautettu tehdasasetuksiin, järjestelmääsi ei enää korjata, ja se on alttiina näille ja muille haavoittuvuuksille, jotka korjataan myöhemmissä päivityksissä.
K: Olen määrittänyt Dell-palvelimen niin, että se ei käytä julkista UEFI CA -varmennetta Secure Boot Authorized Signature Database (db) -tietokannassa. Onko Dell-palvelimeni edelleen altis GRUB2-hyökkäyksille?
V: Ei, tämän jälkeen olet ottanut käyttöön UEFI Secure Boot Customization -ominaisuuden, eikä järjestelmä ole enää altis tunnetuille haavoittuvuuksille (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ja CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Miten voin tarkastella palvelimeni suojatun käynnistyksen valtuutettujen allekirjoitusten tietokannan (db) sisältöä?
V: Lue tämä asiakirja täältä. Voit tehdä tämän RACADM-, WS-MAN-, WINRM-, Redfish- ja BIOS F2 -asetusten kautta sen mukaan, miten olet määrittänyt käytönvalvonnan.
Lisätietoja:
Lisätietoja GRUB2-haavoittuvuuksista on Dell EMC PowerEdge -palvelimissa: Lisätietoja GRUB2-haavoittuvuudesta – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.