Serveurs Dell PowerEdge : Informations supplémentaires concernant la divulgation des failles de sécurité de mars 2021 (GRUB)
Summary: Des failles de sécurité dans GRUB (Grand Unified Bootloader) peuvent permettre le contournement de Secure Boot.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Produits concernés :
Serveurs Dell PowerEdge et plateformes utilisées
Details
Référence :
Les conseils du fournisseur du système d’exploitation sont disponibles dans l’avis de sécurité Dell suivant. Consultez l’article de la base de connaissances 183699 : DSN-2021-002 Réponse de Dell à la divulgation de la vulnérabilité Grub2 du 2 mars 2021
Recommendations
Questions fréquentes :
Q : Quelles plateformes sont concernées ?
UNE : Les serveurs Dell PowerEdge et les plates-formes utilisées sur lesquelles UEFI Secure Boot est activé sont concernés. Dell recommande aux clients de consulter les conseils de leur fournisseur de système d’exploitation pour obtenir des informations complémentaires, y compris l’identification appropriée et les mesures d’atténuation supplémentaires.
Le Client doit suivre les pratiques d’excellence en matière de sécurité et empêcher tout accès physique non autorisé aux appareils. Le Client peut également prendre les mesures suivantes pour se protéger davantage contre les attaques physiques.
UNE : Oui. Les systèmes d’exploitation Windows sont concernés. Un acteur malveillant disposant d’un accès physique à la plate-forme ou de privilèges d’administrateur du système d’exploitation peut charger un fichier binaire GRUB UEFI vulnérable et un logiciel malveillant au moment du démarrage. Reportez-vous à : ADV200011 - Guide de mise à jour de sécurité - Microsoft - Conseils Microsoft pour la résolution du contournement de la fonctionnalité de sécurité dans GRUB
Q : J’utilise le système d’exploitation VMware ESXi. Suis-je concerné ?
une. Reportez-vous à : Réponse de VMware à la faille
de sécurité GRUB2Q : Que dois-je faire pour remédier à cette vulnérabilité ?
UNE : Correctif GRUB - Dans le cadre des conseils des fournisseurs de systèmes d’exploitation Linux, ils sont censés déployer des fichiers binaires GRUB mis à jour ou, dans certains cas, des mises à jour du noyau. Nous vous encourageons à suivre les recommandations publiées par les fournisseurs de distribution Linux pour mettre à jour les paquets concernés, dans l’ordre approprié, vers les dernières versions fournies par le fournisseur de distribution Linux.
Q : J’utilise Linux. Comment savoir si Secure Boot est activé sur mon système ?
UNE : Pour vérifier l’état Secure Boot de votre système, utilisez la commande suivante du système d’exploitation :
Le démarrage UEFI est désactivé ; Secure Boot est désactivé :
Le démarrage UEFI est activé ; Secure Boot est désactivé :
Secure Boot est activé :
Q : J’ai installé les correctifs en suivant les conseils de distribution Linux mais mon système ne démarre plus.
Un: Si le démarrage sécurisé échoue après l’application des mises à jour du fournisseur de distribution Linux, utilisez l’une des options suivantes pour effectuer une restauration :
Avertissement : Une fois que votre base de données dbx est réinitialisée aux paramètres d’usine par défaut, votre système n’est plus corrigé et est vulnérable à ces vulnérabilités, ainsi qu’à toute autre vulnérabilité, corrigées dans des mises à jour ultérieures.
Q : J’ai configuré mon serveur Dell afin qu’il n’utilise pas le certificat d’autorité de certification UEFI public dans la base de données de signatures autorisées (db) Secure Boot. Mon serveur Dell est-il toujours vulnérable aux attaques GRUB2 ?
UNE : Non, une fois cette opération effectuée, vous avez implémenté la fonctionnalité de personnalisation UEFI Secure Boot et votre système n’est plus exposé aux vulnérabilités actuellement connues (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 et CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q : Comment afficher le contenu de la base de données des signatures autorisées (db) Secure Boot de mon serveur ?
UNE : Veuillez consulter ce document ici. Vous pouvez le faire via RACADM, WS-MAN, WINRM, Redfish et la configuration du BIOS F2, en fonction de la façon dont vous avez configuré le contrôle d’accès.
Références supplémentaires :
Pour plus d’informations sur les failles de sécurité GRUB2, reportez-vous à la section Serveurs Dell EMC PowerEdge : Informations supplémentaires concernant la vulnérabilité GRUB2 – « BootHole »
Q : Quelles plateformes sont concernées ?
UNE : Les serveurs Dell PowerEdge et les plates-formes utilisées sur lesquelles UEFI Secure Boot est activé sont concernés. Dell recommande aux clients de consulter les conseils de leur fournisseur de système d’exploitation pour obtenir des informations complémentaires, y compris l’identification appropriée et les mesures d’atténuation supplémentaires.
Le Client doit suivre les pratiques d’excellence en matière de sécurité et empêcher tout accès physique non autorisé aux appareils. Le Client peut également prendre les mesures suivantes pour se protéger davantage contre les attaques physiques.
- Définissez le mot de passe administrateur du BIOS pour empêcher toute altération de la configuration du BIOS, comme le périphérique de démarrage, et le mode Secure Boot.
- Configurez les paramètres de démarrage pour autoriser uniquement le démarrage à partir du périphérique de démarrage interne.
UNE : Oui. Les systèmes d’exploitation Windows sont concernés. Un acteur malveillant disposant d’un accès physique à la plate-forme ou de privilèges d’administrateur du système d’exploitation peut charger un fichier binaire GRUB UEFI vulnérable et un logiciel malveillant au moment du démarrage. Reportez-vous à : ADV200011 - Guide de mise à jour de sécurité - Microsoft - Conseils Microsoft pour la résolution du contournement de la fonctionnalité de sécurité dans GRUB
Q : J’utilise le système d’exploitation VMware ESXi. Suis-je concerné ?
une. Reportez-vous à : Réponse de VMware à la faille
de sécurité GRUB2Q : Que dois-je faire pour remédier à cette vulnérabilité ?
UNE : Correctif GRUB - Dans le cadre des conseils des fournisseurs de systèmes d’exploitation Linux, ils sont censés déployer des fichiers binaires GRUB mis à jour ou, dans certains cas, des mises à jour du noyau. Nous vous encourageons à suivre les recommandations publiées par les fournisseurs de distribution Linux pour mettre à jour les paquets concernés, dans l’ordre approprié, vers les dernières versions fournies par le fournisseur de distribution Linux.
Q : J’utilise Linux. Comment savoir si Secure Boot est activé sur mon système ?
UNE : Pour vérifier l’état Secure Boot de votre système, utilisez la commande suivante du système d’exploitation :
Le démarrage UEFI est désactivé ; Secure Boot est désactivé :
# mokutil --sb-state
Les variables EFI ne sont pas prises en charge sur ce système
Les variables EFI ne sont pas prises en charge sur ce système
Le démarrage UEFI est activé ; Secure Boot est désactivé :
# mokutil --sb-state
SecureBoot disabled
SecureBoot disabled
Secure Boot est activé :
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
Q : J’ai installé les correctifs en suivant les conseils de distribution Linux mais mon système ne démarre plus.
Un: Si le démarrage sécurisé échoue après l’application des mises à jour du fournisseur de distribution Linux, utilisez l’une des options suivantes pour effectuer une restauration :
- Démarrez à partir d’un DVD de secours et essayez de réinstaller la version précédente de shim, grub2 et kernel.
- Réinitialisez la base de données dbx du BIOS à la valeur d’usine par défaut et supprimez toutes les mises à jour appliquées par dbx (à partir du fournisseur du système d’exploitation ou par d’autres moyens) en suivant la procédure suivante :
1. Accédez à la configuration du BIOS (F2)
2. Sélectionnez « System Security »
3. Définissez « Secure Boot Policy » sur « Custom »
4. Sélectionnez « Secure Boot Custom Policy Settings ».
5. Sélectionnez « Base de données des signatures interdites (dbx) »
6. Sélectionnez « Restore Default Forbidden Signature Database » -> « Yes » -> « OK »
7. Définissez « Secure Boot Policy » sur « Standard »
8. Enregistrer et quitter
2. Sélectionnez « System Security »
3. Définissez « Secure Boot Policy » sur « Custom »
4. Sélectionnez « Secure Boot Custom Policy Settings ».
5. Sélectionnez « Base de données des signatures interdites (dbx) »
6. Sélectionnez « Restore Default Forbidden Signature Database » -> « Yes » -> « OK »
7. Définissez « Secure Boot Policy » sur « Standard »
8. Enregistrer et quitter
Avertissement : Une fois que votre base de données dbx est réinitialisée aux paramètres d’usine par défaut, votre système n’est plus corrigé et est vulnérable à ces vulnérabilités, ainsi qu’à toute autre vulnérabilité, corrigées dans des mises à jour ultérieures.
Q : J’ai configuré mon serveur Dell afin qu’il n’utilise pas le certificat d’autorité de certification UEFI public dans la base de données de signatures autorisées (db) Secure Boot. Mon serveur Dell est-il toujours vulnérable aux attaques GRUB2 ?
UNE : Non, une fois cette opération effectuée, vous avez implémenté la fonctionnalité de personnalisation UEFI Secure Boot et votre système n’est plus exposé aux vulnérabilités actuellement connues (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 et CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q : Comment afficher le contenu de la base de données des signatures autorisées (db) Secure Boot de mon serveur ?
UNE : Veuillez consulter ce document ici. Vous pouvez le faire via RACADM, WS-MAN, WINRM, Redfish et la configuration du BIOS F2, en fonction de la façon dont vous avez configuré le contrôle d’accès.
Références supplémentaires :
Pour plus d’informations sur les failles de sécurité GRUB2, reportez-vous à la section Serveurs Dell EMC PowerEdge : Informations supplémentaires concernant la vulnérabilité GRUB2 – « BootHole »
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.