Dell PowerEdgeサーバー:2021年3月(GRUB)の脆弱性開示に関する追加情報
Summary: GRUB(Grand Unified Bootloader)の脆弱性により、セキュア ブートがバイパスされる可能性があります。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
対象製品:
Dell PowerEdgeサーバーとプラットフォームを活用
Details
参考:
オペレーティング システム プロバイダーのアドバイザリーは、次のDellセキュリティ通知に記載されています。次のKB記事を参照してください183699: DSN-2021-002 2021年3月2日のGrub2脆弱性の開示に対するデルの対応
Recommendations
よくあるお問い合わせ(FAQ):
問い: どのプラットフォームが影響を受けますか
答え: UEFIセキュア ブートが有効になっているDell PowerEdgeサーバーおよび活用プラットフォームが影響を受けます。Dellでは、適切な情報の特定と追加の軽減策を含む詳細情報について、オペレーティング システム プロバイダーのアドバイザリーを確認することをお勧めします
お客様は、セキュリティのベスト プラクティスに従い、デバイスへの不正な物理的アクセスを防止する必要があります。また、お客様は次の対策を講じて、物理的な攻撃から自身をさらに保護することもできます。
答え: はい。Windowsオペレーティング システムが影響を受けます。プラットフォームへの物理的なアクセス権、またはOS管理者権限を持つ悪意のある攻撃者は、脆弱なGRUB UEFIバイナリおよびブートタイムマルウェアを読み込む可能性があります。詳細については、次を参照してください。 ADV200011 - セキュリティ更新プログラム ガイド - Microsoft - GRUBでのセキュリティ機能のバイパスに対処するためのMicrosoftガイダンス
問い: VMware ESXiオペレーティング システムを使用しています。影響はありますか
A. はい。詳細については、次を参照してください。GRUB2セキュリティ脆弱性に対するVMwareの対応
問い: この脆弱性を解決するにはどうすればいいですか
答え: GRUBパッチ - Linuxオペレーティング システム ベンダーのアドバイザリーの一環として、アップデートされたGRUBバイナリー、場合によってはカーネル アップデートもロールアウトされる予定です。マイクロソフトは Linux ディストリビューション ベンダーが公開している推奨事項に従い、影響を受けるパッケージを適切な順序で Linux ディストリビューション ベンダーが提供する最新バージョンにアップデートすることを推奨します
問い: 私はLinuxを実行しています。システムでセキュア ブートが有効になっているかどうかを確認するにはどうすればよいですか
答え: システムのセキュア ブート ステータスを確認するには、次のOSコマンドを使用します。
UEFI起動が無効になっています。セキュア ブートが無効になっている場合:
UEFI起動が有効になっています。セキュア ブートが無効になっている場合:
セキュア ブートが有効になっている場合:
問い: Linuxディストリビューション アドバイザリーに従ってパッチをインストールしましたが、システムが起動しなくなります。
ある:Linuxディストリビューション ベンダーのアップデートを適用した後にセキュア ブートが失敗した場合は、次のいずれかのオプションを使用してリカバリーします。
Warning: dbx データベースが工場出荷時のデフォルトにリセットされると、システムにパッチは適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、後のアップデートで修正されます。
問い: セキュア ブート認証済み署名データベース(db)内のパブリックUEFI CA証明書を使用しないようにDellサーバーを構成しました。使用しているDellサーバーは引き続きGRUB2攻撃の影響を受けますか
答え: いいえ。これを行うと、UEFIセキュア ブートのカスタマイズ機能が実装され、システムは現在既知の脆弱性(CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE-2021-20233 、 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )の影響を受けなくなります
Q: サーバーのセキュア ブート認証署名データベース(db)の内容を表示するにはどうすればよいですか
答え: こちらで このドキュメントを確認してください。アクセス制御の設定方法に応じて、RACADM、WS-MAN、WINRM、Redfish、BIOS F2セットアップを使用して行うことができます。
その他のリファレンス:
GRUB2の脆弱性の詳細については、「 Dell EMC PowerEdgeサーバー: GRUB2の脆弱性に関する追加情報 – 「BootHole」
問い: どのプラットフォームが影響を受けますか
答え: UEFIセキュア ブートが有効になっているDell PowerEdgeサーバーおよび活用プラットフォームが影響を受けます。Dellでは、適切な情報の特定と追加の軽減策を含む詳細情報について、オペレーティング システム プロバイダーのアドバイザリーを確認することをお勧めします
お客様は、セキュリティのベスト プラクティスに従い、デバイスへの不正な物理的アクセスを防止する必要があります。また、お客様は次の対策を講じて、物理的な攻撃から自身をさらに保護することもできます。
- 起動デバイスやセキュア ブート モードなどのBIOSセットアップ設定が変更されないように、BIOS管理者パスワードを設定します。
- 内部起動デバイスからの起動のみを許可するように起動設定を構成します。
答え: はい。Windowsオペレーティング システムが影響を受けます。プラットフォームへの物理的なアクセス権、またはOS管理者権限を持つ悪意のある攻撃者は、脆弱なGRUB UEFIバイナリおよびブートタイムマルウェアを読み込む可能性があります。詳細については、次を参照してください。 ADV200011 - セキュリティ更新プログラム ガイド - Microsoft - GRUBでのセキュリティ機能のバイパスに対処するためのMicrosoftガイダンス
問い: VMware ESXiオペレーティング システムを使用しています。影響はありますか
A. はい。詳細については、次を参照してください。GRUB2セキュリティ脆弱性に対するVMwareの対応
問い: この脆弱性を解決するにはどうすればいいですか
答え: GRUBパッチ - Linuxオペレーティング システム ベンダーのアドバイザリーの一環として、アップデートされたGRUBバイナリー、場合によってはカーネル アップデートもロールアウトされる予定です。マイクロソフトは Linux ディストリビューション ベンダーが公開している推奨事項に従い、影響を受けるパッケージを適切な順序で Linux ディストリビューション ベンダーが提供する最新バージョンにアップデートすることを推奨します
問い: 私はLinuxを実行しています。システムでセキュア ブートが有効になっているかどうかを確認するにはどうすればよいですか
答え: システムのセキュア ブート ステータスを確認するには、次のOSコマンドを使用します。
UEFI起動が無効になっています。セキュア ブートが無効になっている場合:
# mokutil --sb-state
EFI 変数はこのシステムではサポートされていません
EFI 変数はこのシステムではサポートされていません
UEFI起動が有効になっています。セキュア ブートが無効になっている場合:
# mokutil --sb-state
SecureBootが無効になっています
SecureBootが無効になっています
セキュア ブートが有効になっている場合:
# mokutil --sb-state
SecureBoot有効
SecureBoot有効
問い: Linuxディストリビューション アドバイザリーに従ってパッチをインストールしましたが、システムが起動しなくなります。
ある:Linuxディストリビューション ベンダーのアップデートを適用した後にセキュア ブートが失敗した場合は、次のいずれかのオプションを使用してリカバリーします。
- レスキュー DVD から起動し、以前のバージョンの shim、grub2、カーネルの再インストールを試みます。
- BIOS dbxデータベースを工場出荷時のデフォルト値にリセットし、次の手順を使用して、dbxが適用したアップデートを(OSベンダーまたはその他の手段から)削除します。
1. BIOS セットアップ (F2)
2 を起動します。 [System Security]
3を選択します。 [Secure Boot Policy]を[Custom]に設定します
4。 [Secure Boot Custom Policy Settings]を選択します
5. [Forbidden Signature Database (dbx)]
6を選択します。 [Restore Default Forbidden Signature Database]を選択し、[Yes]> [OK]> [OK]
7を選択します。 [Secure Boot Policy]を[Standard]に設定します
8. 保存して終了
2 を起動します。 [System Security]
3を選択します。 [Secure Boot Policy]を[Custom]に設定します
4。 [Secure Boot Custom Policy Settings]を選択します
5. [Forbidden Signature Database (dbx)]
6を選択します。 [Restore Default Forbidden Signature Database]を選択し、[Yes]> [OK]> [OK]
7を選択します。 [Secure Boot Policy]を[Standard]に設定します
8. 保存して終了
Warning: dbx データベースが工場出荷時のデフォルトにリセットされると、システムにパッチは適用されなくなり、これらの脆弱性やその他の脆弱性に対して脆弱になり、後のアップデートで修正されます。
問い: セキュア ブート認証済み署名データベース(db)内のパブリックUEFI CA証明書を使用しないようにDellサーバーを構成しました。使用しているDellサーバーは引き続きGRUB2攻撃の影響を受けますか
答え: いいえ。これを行うと、UEFIセキュア ブートのカスタマイズ機能が実装され、システムは現在既知の脆弱性(CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE-2021-20233 、 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )の影響を受けなくなります
Q: サーバーのセキュア ブート認証署名データベース(db)の内容を表示するにはどうすればよいですか
答え: こちらで このドキュメントを確認してください。アクセス制御の設定方法に応じて、RACADM、WS-MAN、WINRM、Redfish、BIOS F2セットアップを使用して行うことができます。
その他のリファレンス:
GRUB2の脆弱性の詳細については、「 Dell EMC PowerEdgeサーバー: GRUB2の脆弱性に関する追加情報 – 「BootHole」
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.