Dell PowerEdge-servere: Tilleggsinformasjon angående sårbarhetsavsløringen i mars 2021 (GRUB)
Summary: Sikkerhetsproblemer i GRUB (Grand Unified Bootloader) kan tillate forbikobling av sikker oppstart.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Berørte produkter:
Dell PowerEdge-servere og belånte plattformer
Details
Referanse:
Du finner følgende sikkerhetsmerknad fra leverandøren av operativsystemet i følgende sikkerhetsmerknad fra Dell. Se KB-artikkel 183699: DSN-2021-002 Dells svar på Grub2-sikkerhetsproblemet som ble avslørt 2. mars 2021
Recommendations
Vanlige spørsmål:
Spørsmål: Hvilke plattformer er berørt?
A: Dell PowerEdge-servere og benyttede plattformer der UEFI Secure Boot er aktivert, er berørt. Dell anbefaler at kundene gjennomgår rådene fra operativsystemleverandøren for å få mer informasjon, inkludert egnet identifisering og ytterligere avbøtende tiltak.
Kunden bør følge anbefalte fremgangsmåter for sikkerhet og forhindre uautorisert fysisk tilgang til enhetene. Kunden kan også iverksette følgende tiltak for å beskytte seg ytterligere mot fysiske angrep.
A: Ja. Windows-operativsystemer påvirkes. En ondsinnet aktør som har fysisk tilgang til plattformen eller OS-administratorrettigheter, kan laste inn en sårbar GRUB UEFI-binær og oppstartstid for skadelig programvare. Se følgende: ADV200011 - Veiledning for sikkerhetsoppdatering - Microsoft - Microsoft Veiledning for håndtering av forbikobling av sikkerhetsfunksjoner i GRUB
Spørsmål: Jeg bruker VMWare ESXi Operating System. Er jeg påvirket?
A. Se følgende: VMware-svar på GRUB2-sikkerhetssårbarhet
Spørsmål: Hva må jeg gjøre for å løse dette sikkerhetsproblemet?
A: GRUB Patch - Som en del av Linux-operativsystemleverandørenes veiledninger, forventes de å rulle ut oppdaterte GRUB-binærfiler eller i noen tilfeller også kjerneoppdateringer. Vi oppfordrer deg til å følge de publiserte anbefalingene fra Linux-distribusjonsleverandørene for å oppdatere de berørte pakkene, i riktig rekkefølge, til de nyeste versjonene levert av Linux-distribusjonsleverandøren.
Spørsmål: Jeg kjører Linux. Hvordan vet jeg om sikker oppstart er aktivert på systemet mitt?
A: Hvis du vil kontrollere status for sikker oppstart for systemet, bruker du følgende OS-kommando:
UEFI-oppstart er deaktivert. Sikker oppstart er deaktivert:
UEFI-oppstart er aktivert. Sikker oppstart er deaktivert:
Sikker oppstart er aktivert:
Spørsmål: Jeg installerte oppdateringene etter Linux-distribusjonsveiledningene, men systemet mitt starter ikke lenger.
En: Hvis sikker oppstart mislykkes etter at du har brukt Linux-distribusjonsleverandørens oppdateringer, kan du bruke ett av følgende alternativer til å gjenopprette:
Advarsel: Når dbx-databasen er tilbakestilt til fabrikkinnstillingene, er ikke systemet lenger oppdatert, og det er sårbart for disse og eventuelle andre sårbarheter som er utbedret i senere oppdateringer.
Spørsmål: Jeg har konfigurert Dell-serveren slik at den ikke bruker det offentlige UEFI CA-sertifikatet i databasen for autorisert signatur for sikker oppstart (db). Er Dell-serveren min fortsatt utsatt for GRUB2-angrep?
A: Nei, når du har gjort dette, har du implementert UEFI Secure Boot Customization-funksjonen, og systemet ditt er ikke lenger utsatt for kjente sikkerhetsproblemer (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779 og CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hvordan viser jeg hva som er i serverens database med autorisert signatur (db) for sikker oppstart?
A: Se gjennom dette dokumentet her. Du kan gjøre dette via RACADM-, WS-MAN-, WINRM-, Redfish- og BIOS F2-oppsett, avhengig av hvordan du har konfigurert tilgangskontroll.
Flere referanser:
Hvis du vil ha mer informasjon om GRUB2-sikkerhetsproblemer, kan du se Dell EMC PowerEdge-servere: Tilleggsinformasjon om GRUB2-sikkerhetsproblemet – "Boothole"
Spørsmål: Hvilke plattformer er berørt?
A: Dell PowerEdge-servere og benyttede plattformer der UEFI Secure Boot er aktivert, er berørt. Dell anbefaler at kundene gjennomgår rådene fra operativsystemleverandøren for å få mer informasjon, inkludert egnet identifisering og ytterligere avbøtende tiltak.
Kunden bør følge anbefalte fremgangsmåter for sikkerhet og forhindre uautorisert fysisk tilgang til enhetene. Kunden kan også iverksette følgende tiltak for å beskytte seg ytterligere mot fysiske angrep.
- Angi BIOS-administratorpassord for å forhindre endring av BIOS-oppsettkonfigurasjonen, for eksempel oppstartsenheten og sikker oppstartsmodus.
- Konfigurer oppstartsinnstillinger til bare å tillate oppstart til den interne oppstartsenheten.
A: Ja. Windows-operativsystemer påvirkes. En ondsinnet aktør som har fysisk tilgang til plattformen eller OS-administratorrettigheter, kan laste inn en sårbar GRUB UEFI-binær og oppstartstid for skadelig programvare. Se følgende: ADV200011 - Veiledning for sikkerhetsoppdatering - Microsoft - Microsoft Veiledning for håndtering av forbikobling av sikkerhetsfunksjoner i GRUB
Spørsmål: Jeg bruker VMWare ESXi Operating System. Er jeg påvirket?
A. Se følgende: VMware-svar på GRUB2-sikkerhetssårbarhet
Spørsmål: Hva må jeg gjøre for å løse dette sikkerhetsproblemet?
A: GRUB Patch - Som en del av Linux-operativsystemleverandørenes veiledninger, forventes de å rulle ut oppdaterte GRUB-binærfiler eller i noen tilfeller også kjerneoppdateringer. Vi oppfordrer deg til å følge de publiserte anbefalingene fra Linux-distribusjonsleverandørene for å oppdatere de berørte pakkene, i riktig rekkefølge, til de nyeste versjonene levert av Linux-distribusjonsleverandøren.
Spørsmål: Jeg kjører Linux. Hvordan vet jeg om sikker oppstart er aktivert på systemet mitt?
A: Hvis du vil kontrollere status for sikker oppstart for systemet, bruker du følgende OS-kommando:
UEFI-oppstart er deaktivert. Sikker oppstart er deaktivert:
# mokutil --sb-state
EFI-variabler støttes ikke på dette systemet
EFI-variabler støttes ikke på dette systemet
UEFI-oppstart er aktivert. Sikker oppstart er deaktivert:
# mokutil --sb-state
SecureBoot deaktivert
SecureBoot deaktivert
Sikker oppstart er aktivert:
# mokutil --sb-state
SecureBoot aktivert
SecureBoot aktivert
Spørsmål: Jeg installerte oppdateringene etter Linux-distribusjonsveiledningene, men systemet mitt starter ikke lenger.
En: Hvis sikker oppstart mislykkes etter at du har brukt Linux-distribusjonsleverandørens oppdateringer, kan du bruke ett av følgende alternativer til å gjenopprette:
- Start opp på en rednings-DVD og prøv å installere den forrige versjonen av shim, grub2 og kjernen på nytt.
- Tilbakestill BIOS dbx-databasen til fabrikkstandardverdien, og fjern alle dbx-brukte oppdateringer (enten fra OS-leverandøren eller på andre måter) ved hjelp av følgende fremgangsmåte:
1. Angi BIOS-oppsett (F2)
2. Velg "System Security"
3. Sett "Secure Boot Policy" til "Custom"
4. Velg "Egendefinerte regelinnstillinger
for sikker oppstart" 5. Velg "Forbidden Signature Database (dbx)"
6. Velg "Gjenopprett standard forbudt signaturdatabase" -> "Ja" -> "OK"
7. Sett "Secure Boot Policy" til "Standard"
8. Lagre og avslutt
2. Velg "System Security"
3. Sett "Secure Boot Policy" til "Custom"
4. Velg "Egendefinerte regelinnstillinger
for sikker oppstart" 5. Velg "Forbidden Signature Database (dbx)"
6. Velg "Gjenopprett standard forbudt signaturdatabase" -> "Ja" -> "OK"
7. Sett "Secure Boot Policy" til "Standard"
8. Lagre og avslutt
Advarsel: Når dbx-databasen er tilbakestilt til fabrikkinnstillingene, er ikke systemet lenger oppdatert, og det er sårbart for disse og eventuelle andre sårbarheter som er utbedret i senere oppdateringer.
Spørsmål: Jeg har konfigurert Dell-serveren slik at den ikke bruker det offentlige UEFI CA-sertifikatet i databasen for autorisert signatur for sikker oppstart (db). Er Dell-serveren min fortsatt utsatt for GRUB2-angrep?
A: Nei, når du har gjort dette, har du implementert UEFI Secure Boot Customization-funksjonen, og systemet ditt er ikke lenger utsatt for kjente sikkerhetsproblemer (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779 og CVE-2021-20225, CVE-2021-20233 og CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hvordan viser jeg hva som er i serverens database med autorisert signatur (db) for sikker oppstart?
A: Se gjennom dette dokumentet her. Du kan gjøre dette via RACADM-, WS-MAN-, WINRM-, Redfish- og BIOS F2-oppsett, avhengig av hvordan du har konfigurert tilgangskontroll.
Flere referanser:
Hvis du vil ha mer informasjon om GRUB2-sikkerhetsproblemer, kan du se Dell EMC PowerEdge-servere: Tilleggsinformasjon om GRUB2-sikkerhetsproblemet – "Boothole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.