Dell PowerEdge Servers: Aanvullende informatie met betrekking tot de openbaarmaking van de kwetsbaarheid van maart 2021 (GRUB)
Summary: Door beveiligingslekken in GRUB (Grand Unified Bootloader) kan Secure Boot worden omzeild.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Betreffende producten:
Dell PowerEdge servers en gebruikte platforms
Details
Meer informatie:
Adviezen van de leverancier van het besturingssysteem zijn te vinden in de volgende Dell Security Notice. Raadpleeg KB-artikel 183699: DSN-2021-002 Reactie van Dell op de openbaarmaking van de Grub2-kwetsbaarheid van 2 maart 2021
Recommendations
Veelgestelde vragen:
Vraag: Om welke platformen gaat het?
Antwoord: Dell PowerEdge servers en gebruikte platforms waarop UEFI Secure Boot is ingeschakeld, worden getroffen. Dell raadt klanten aan de adviezen van de leverancier van hun besturingssysteem te lezen voor meer informatie, inclusief de juiste identificatie en aanvullende risicobeperkende maatregelen.
De klant moet de best practices voor beveiliging volgen en onbevoegde fysieke toegang tot apparaten voorkomen. De klant kan ook de volgende maatregelen nemen om zichzelf verder te beschermen tegen fysieke aanvallen.
Antwoord: Ja. Windows-besturingssystemen worden beïnvloed. Een kwaadwillende actor die fysieke toegang heeft tot het platform of beheerdersrechten van het besturingssysteem heeft, kan een kwetsbare GRUB UEFI binaire en opstarttijdmalware laden. Raadpleeg: ADV200011 - Handleiding voor beveiligingsupdates - Microsoft - Microsoft richtlijnen voor het omzeilen van beveiligingsfuncties in GRUB
Vraag: Ik gebruik het VMWare ESXi besturingssysteem. Heb ik hier last van?
EEN. Raadpleeg: Reactie van VMware op beveiligingslek
GRUB2Vraag: Wat moet ik doen om dit beveiligingslek te verhelpen?
Antwoord: GRUB-patch - Als onderdeel van de adviezen van leveranciers van Linux-besturingssystemen wordt van hen verwacht dat ze bijgewerkte GRUB-binaire bestanden of in sommige gevallen ook kernelupdates uitrollen. We raden u aan de gepubliceerde aanbevelingen van de leveranciers van de Linux-distributie te volgen om de betreffende pakketten in de juiste volgorde bij te werken naar de meest recente versies die door de leverancier van de Linux-distributie worden geleverd.
Vraag: Ik gebruik Linux. Hoe weet ik of veilig opstarten op mijn systeem is ingeschakeld?
Antwoord: Gebruik de volgende OS-opdracht om de Secure Boot-status van uw systeem te controleren:
UEFI-opstartmodus is uitgeschakeld; Veilig opstarten is uitgeschakeld:
UEFI-opstartmodus is ingeschakeld; Veilig opstarten is uitgeschakeld:
Veilig opstarten is ingeschakeld:
Vraag: Ik heb de patches geïnstalleerd naar aanleiding van de Linux-distributieadviezen, maar mijn systeem start niet meer op.
Een: Als Secure Boot mislukt nadat u de updates van de Linux-distributieleverancier hebt toegepast, gebruikt u een van de volgende opties om het probleem te herstellen:
Waarschuwing: Zodra uw dbx-database is teruggezet naar de fabrieksinstellingen, wordt uw systeem niet langer gepatcht en is het kwetsbaar voor deze en andere kwetsbaarheden die in latere updates worden verholpen.
Vraag: Ik heb mijn Dell server zo geconfigureerd dat deze geen gebruik maakt van het openbare UEFI CA-certificaat in de Secure Boot Authorized Signature Database (db). Is mijn Dell server nog steeds gevoelig voor GRUB2-aanvallen?
Antwoord: Nee, zodra u dit hebt gedaan, hebt u de functie UEFI Secure Boot Customization geïmplementeerd en is uw systeem niet langer vatbaar voor de momenteel bekende beveiligingslekken (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 en CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hoe kan ik zien wat er in de Secure Boot Authorized Signature Database (db) van mijn server staat?
Antwoord: Lees dit document hier. U kunt dit doen via RACADM, WS-MAN, WINRM, Redfish en BIOS F2 Setup, afhankelijk van hoe u toegangscontrole hebt geconfigureerd.
Aanvullende verwijzingen:
Raadpleeg Dell EMC PowerEdge servers voor meer informatie over GRUB2-beveiligingslekken: Aanvullende informatie met betrekking tot het GRUB2-beveiligingslek – "BootHole"
Vraag: Om welke platformen gaat het?
Antwoord: Dell PowerEdge servers en gebruikte platforms waarop UEFI Secure Boot is ingeschakeld, worden getroffen. Dell raadt klanten aan de adviezen van de leverancier van hun besturingssysteem te lezen voor meer informatie, inclusief de juiste identificatie en aanvullende risicobeperkende maatregelen.
De klant moet de best practices voor beveiliging volgen en onbevoegde fysieke toegang tot apparaten voorkomen. De klant kan ook de volgende maatregelen nemen om zichzelf verder te beschermen tegen fysieke aanvallen.
- Stel het BIOS-beheerderswachtwoord in om te voorkomen dat de BIOS-setup-configuratie, zoals het opstartapparaat, en de Secure Boot-modus worden gewijzigd.
- Configureer opstartinstellingen om alleen opstarten naar het interne opstartapparaat toe te staan.
Antwoord: Ja. Windows-besturingssystemen worden beïnvloed. Een kwaadwillende actor die fysieke toegang heeft tot het platform of beheerdersrechten van het besturingssysteem heeft, kan een kwetsbare GRUB UEFI binaire en opstarttijdmalware laden. Raadpleeg: ADV200011 - Handleiding voor beveiligingsupdates - Microsoft - Microsoft richtlijnen voor het omzeilen van beveiligingsfuncties in GRUB
Vraag: Ik gebruik het VMWare ESXi besturingssysteem. Heb ik hier last van?
EEN. Raadpleeg: Reactie van VMware op beveiligingslek
GRUB2Vraag: Wat moet ik doen om dit beveiligingslek te verhelpen?
Antwoord: GRUB-patch - Als onderdeel van de adviezen van leveranciers van Linux-besturingssystemen wordt van hen verwacht dat ze bijgewerkte GRUB-binaire bestanden of in sommige gevallen ook kernelupdates uitrollen. We raden u aan de gepubliceerde aanbevelingen van de leveranciers van de Linux-distributie te volgen om de betreffende pakketten in de juiste volgorde bij te werken naar de meest recente versies die door de leverancier van de Linux-distributie worden geleverd.
Vraag: Ik gebruik Linux. Hoe weet ik of veilig opstarten op mijn systeem is ingeschakeld?
Antwoord: Gebruik de volgende OS-opdracht om de Secure Boot-status van uw systeem te controleren:
UEFI-opstartmodus is uitgeschakeld; Veilig opstarten is uitgeschakeld:
# mokutil --sb-state
EFI variables are not supported on this system
EFI variables are not supported on this system
UEFI-opstartmodus is ingeschakeld; Veilig opstarten is uitgeschakeld:
# mokutil --sb-state
SecureBoot disabled
SecureBoot disabled
Veilig opstarten is ingeschakeld:
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
Vraag: Ik heb de patches geïnstalleerd naar aanleiding van de Linux-distributieadviezen, maar mijn systeem start niet meer op.
Een: Als Secure Boot mislukt nadat u de updates van de Linux-distributieleverancier hebt toegepast, gebruikt u een van de volgende opties om het probleem te herstellen:
- Start op naar een herstel-dvd en probeer de vorige versie van shim, grub2 en kernel opnieuw te installeren.
- Reset de BIOS dbx-database naar de fabriekswaarde en verwijder alle dbx-updates (van de leverancier van het besturingssysteem of op een andere manier) met behulp van de volgende procedure:
1. Ga naar BIOS Setup (F2)
2. Selecteer "Systeembeveiliging"
3. Stel "Secure Boot Policy" in op "Custom"
4. Selecteer "Secure Boot Custom Policy Settings"
5. Selecteer "Forbidden Signature Database (dbx)"
6. Selecteer "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Stel "Secure Boot Policy" in op "Standard"
8. Opslaan en sluiten
2. Selecteer "Systeembeveiliging"
3. Stel "Secure Boot Policy" in op "Custom"
4. Selecteer "Secure Boot Custom Policy Settings"
5. Selecteer "Forbidden Signature Database (dbx)"
6. Selecteer "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Stel "Secure Boot Policy" in op "Standard"
8. Opslaan en sluiten
Waarschuwing: Zodra uw dbx-database is teruggezet naar de fabrieksinstellingen, wordt uw systeem niet langer gepatcht en is het kwetsbaar voor deze en andere kwetsbaarheden die in latere updates worden verholpen.
Vraag: Ik heb mijn Dell server zo geconfigureerd dat deze geen gebruik maakt van het openbare UEFI CA-certificaat in de Secure Boot Authorized Signature Database (db). Is mijn Dell server nog steeds gevoelig voor GRUB2-aanvallen?
Antwoord: Nee, zodra u dit hebt gedaan, hebt u de functie UEFI Secure Boot Customization geïmplementeerd en is uw systeem niet langer vatbaar voor de momenteel bekende beveiligingslekken (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 en CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hoe kan ik zien wat er in de Secure Boot Authorized Signature Database (db) van mijn server staat?
Antwoord: Lees dit document hier. U kunt dit doen via RACADM, WS-MAN, WINRM, Redfish en BIOS F2 Setup, afhankelijk van hoe u toegangscontrole hebt geconfigureerd.
Aanvullende verwijzingen:
Raadpleeg Dell EMC PowerEdge servers voor meer informatie over GRUB2-beveiligingslekken: Aanvullende informatie met betrekking tot het GRUB2-beveiligingslek – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.