Server Dell PowerEdge: Ulteriori informazioni sulla divulgazione delle vulnerabilità di marzo 2021 (GRUB)
Summary: Le vulnerabilità in GRUB (Grand Unified Bootloader) possono consentire il bypass di Secure Boot.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Prodotti interessati:
Server Dell PowerEdge e piattaforme utilizzate
Details
Riferimento:
Le avvertenze del fornitore del sistema operativo sono reperibili nel seguente Avviso sulla sicurezza Dell. Consultare l'articolo 183699 della Knowledge Base: DSN-2021-002 Risposta di Dell alla divulgazione delle vulnerabilità Grub2 del 2 marzo 2021
Recommendations
Domande frequenti:
D: Quali piattaforme sono interessate?
Risposta: Sono interessati i server Dell PowerEdge e le piattaforme utilizzate con UEFI Secure Boot abilitato. Dell consiglia ai clienti di consultare le avvertenze del proprio fornitore del sistema operativo per ulteriori informazioni, tra cui l'identificazione appropriata e ulteriori misure di mitigazione.
Il Cliente deve seguire le best practice di sicurezza e impedire l'accesso fisico non autorizzato ai dispositivi. Il Cliente può inoltre adottare le seguenti misure per proteggersi ulteriormente dagli attacchi fisici.
Risposta: Sì. Sono interessati i sistemi operativi Windows. Un malintenzionato che dispone dell'accesso fisico alla piattaforma o dei privilegi di amministratore del sistema operativo può caricare un file binario GRUB UEFI vulnerabile e un malware in fase di avvio. Fare riferimento a: ADV200011 - Guida all'aggiornamento della protezione - Microsoft - Linee guida Microsoft per la risoluzione dei problemi di bypass delle funzionalità di protezione in GRUB
D: Utilizzo il sistema operativo VMWare ESXi. Sono interessato dal problema?
R. Fare riferimento a: Risposta di VMware alla vulnerabilità
della sicurezza GRUB2D: Cosa è necessario fare per risolvere questa vulnerabilità?
Risposta: Patch GRUB - Come parte delle avvertenze dei fornitori di sistemi operativi Linux, ci si aspetta che vengano implementati i binari GRUB aggiornati o, in alcuni casi, anche gli aggiornamenti del kernel. Si consiglia di seguire le raccomandazioni pubblicate dai fornitori della distribuzione Linux per aggiornare i pacchetti interessati, nell'ordine corretto, alle versioni più recenti fornite dal fornitore della distribuzione Linux.
D: Utilizzo Linux. Come faccio a sapere se Secure Boot è abilitato sul mio sistema?
Risposta: Per verificare lo stato di avvio protetto del sistema, utilizzare il seguente comando del sistema operativo:
L'avvio UEFI è disabilitato; Secure Boot è disabilitato:
L'avvio UEFI è abilitato; Secure Boot è disabilitato:
Secure Boot è abilitato:
D: Ho installato le patch seguendo le avvertenze di distribuzione Linux, ma il sistema non si avvia più.
Un: Se Secure Boot non riesce dopo l'applicazione degli aggiornamenti del vendor della distribuzione Linux, utilizzare una delle seguenti opzioni per eseguire il ripristino:
Avvertenza: Una volta ripristinato il database dbx alle impostazioni di fabbrica, il sistema non è più dotato di patch ed è vulnerabile a queste e ad altre vulnerabilità, risolte negli aggiornamenti successivi.
D: Ho configurato il mio server Dell in modo che non utilizzi il certificato CA UEFI pubblico nel database Secure Boot Authorized Signature (db). Il mio server Dell è ancora suscettibile agli attacchi GRUB2?
Risposta: No, una volta effettuata questa operazione, sarà stata implementata la funzione UEFI Secure Boot Customization e il sistema non sarà più vulnerabile alle vulnerabilità attualmente note (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 e CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
D: Come faccio a visualizzare il contenuto del database Secure Boot Authorized Signature (db) del mio server?
Risposta: Esamina il documento qui. È possibile eseguire questa operazione tramite RACADM, WS-MAN, WINRM, Redfish e BIOS F2 Setup, a seconda di come è stato configurato il controllo degli accessi.
Riferimenti aggiuntivi:
Per ulteriori informazioni sulle vulnerabilità GRUB2, fare riferimento a Server Dell EMC PowerEdge: Ulteriori informazioni sulla vulnerabilità GRUB2 - "BootHole"
D: Quali piattaforme sono interessate?
Risposta: Sono interessati i server Dell PowerEdge e le piattaforme utilizzate con UEFI Secure Boot abilitato. Dell consiglia ai clienti di consultare le avvertenze del proprio fornitore del sistema operativo per ulteriori informazioni, tra cui l'identificazione appropriata e ulteriori misure di mitigazione.
Il Cliente deve seguire le best practice di sicurezza e impedire l'accesso fisico non autorizzato ai dispositivi. Il Cliente può inoltre adottare le seguenti misure per proteggersi ulteriormente dagli attacchi fisici.
- Impostare la password amministratore del BIOS per impedire l'alterazione della configurazione del BIOS, ad esempio del dispositivo di avvio e della modalità Secure Boot.
- Configurare le impostazioni di avvio in modo da consentire solo l'avvio dal dispositivo di avvio interno.
Risposta: Sì. Sono interessati i sistemi operativi Windows. Un malintenzionato che dispone dell'accesso fisico alla piattaforma o dei privilegi di amministratore del sistema operativo può caricare un file binario GRUB UEFI vulnerabile e un malware in fase di avvio. Fare riferimento a: ADV200011 - Guida all'aggiornamento della protezione - Microsoft - Linee guida Microsoft per la risoluzione dei problemi di bypass delle funzionalità di protezione in GRUB
D: Utilizzo il sistema operativo VMWare ESXi. Sono interessato dal problema?
R. Fare riferimento a: Risposta di VMware alla vulnerabilità
della sicurezza GRUB2D: Cosa è necessario fare per risolvere questa vulnerabilità?
Risposta: Patch GRUB - Come parte delle avvertenze dei fornitori di sistemi operativi Linux, ci si aspetta che vengano implementati i binari GRUB aggiornati o, in alcuni casi, anche gli aggiornamenti del kernel. Si consiglia di seguire le raccomandazioni pubblicate dai fornitori della distribuzione Linux per aggiornare i pacchetti interessati, nell'ordine corretto, alle versioni più recenti fornite dal fornitore della distribuzione Linux.
D: Utilizzo Linux. Come faccio a sapere se Secure Boot è abilitato sul mio sistema?
Risposta: Per verificare lo stato di avvio protetto del sistema, utilizzare il seguente comando del sistema operativo:
L'avvio UEFI è disabilitato; Secure Boot è disabilitato:
# mokutil --sb-state
Le variabili EFI non sono supportate su questo sistema
Le variabili EFI non sono supportate su questo sistema
L'avvio UEFI è abilitato; Secure Boot è disabilitato:
# mokutil --sb-state
Secure Boot disabilitato
Secure Boot disabilitato
Secure Boot è abilitato:
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
D: Ho installato le patch seguendo le avvertenze di distribuzione Linux, ma il sistema non si avvia più.
Un: Se Secure Boot non riesce dopo l'applicazione degli aggiornamenti del vendor della distribuzione Linux, utilizzare una delle seguenti opzioni per eseguire il ripristino:
- Eseguire l'avvio da un DVD di ripristino e tentare di reinstallare la versione precedente di shim, grub2 e kernel.
- Reimpostare il database dbx del BIOS ai valori predefiniti di fabbrica e rimuovere eventuali aggiornamenti dbx applicati (dal fornitore del sistema operativo o in altro modo) utilizzando la procedura seguente:
1. Accedere alla configurazione del BIOS (F2)
2. Selezionare "System Security"
3. Impostare "Secure Boot Policy" su "Custom"
4. Selezionare "Secure Boot Custom Policy Settings"
5. Selezionare "Forbidden Signature Database (dbx)"
6. Selezionare "Ripristina database predefinito" -> "Sì" -> "OK"
7. Impostare "Secure Boot Policy" su "Standard"
8. Salva ed esci
2. Selezionare "System Security"
3. Impostare "Secure Boot Policy" su "Custom"
4. Selezionare "Secure Boot Custom Policy Settings"
5. Selezionare "Forbidden Signature Database (dbx)"
6. Selezionare "Ripristina database predefinito" -> "Sì" -> "OK"
7. Impostare "Secure Boot Policy" su "Standard"
8. Salva ed esci
Avvertenza: Una volta ripristinato il database dbx alle impostazioni di fabbrica, il sistema non è più dotato di patch ed è vulnerabile a queste e ad altre vulnerabilità, risolte negli aggiornamenti successivi.
D: Ho configurato il mio server Dell in modo che non utilizzi il certificato CA UEFI pubblico nel database Secure Boot Authorized Signature (db). Il mio server Dell è ancora suscettibile agli attacchi GRUB2?
Risposta: No, una volta effettuata questa operazione, sarà stata implementata la funzione UEFI Secure Boot Customization e il sistema non sarà più vulnerabile alle vulnerabilità attualmente note (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 e CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
D: Come faccio a visualizzare il contenuto del database Secure Boot Authorized Signature (db) del mio server?
Risposta: Esamina il documento qui. È possibile eseguire questa operazione tramite RACADM, WS-MAN, WINRM, Redfish e BIOS F2 Setup, a seconda di come è stato configurato il controllo degli accessi.
Riferimenti aggiuntivi:
Per ulteriori informazioni sulle vulnerabilità GRUB2, fare riferimento a Server Dell EMC PowerEdge: Ulteriori informazioni sulla vulnerabilità GRUB2 - "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.