Serwery PowerEdge Dell: Dodatkowe informacje dotyczące ujawnienia luki w zabezpieczeniach Marzec 2021 r. (GRUB)
Summary: Luki w zabezpieczeniach GRUB (Grand Unified Bootloader) mogą pozwolić na obejście bezpiecznego rozruchu.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Dotyczy produktów:
Serwery Dell PowerEdge i wykorzystywane platformy
Details
Numer referencyjny:
Porady dostawcy systemu operacyjnego można znaleźć w następujących uwagach dotyczących zabezpieczeń firmy Dell. Zapoznaj się z artykułem bazy wiedzy 183699: DSN-2021-002 — reakcja firmy Dell na ujawnienie luki w zabezpieczeniach Grub2 z 2 marca 2021 r.
Recommendations
Najczęściej zadawane pytania:
Pytanie: Których platform dotyczy problem?
ZA: Problem dotyczy serwerów Dell PowerEdge i używanych platform z włączoną funkcją UEFI Secure Boot. Firma Dell zaleca klientom zapoznanie się z poradnikami dostawcy systemów operacyjnych w celu uzyskania dalszych informacji, w tym odpowiedniej identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i zapobiegać nieautoryzowanemu fizycznemu dostępowi do urządzeń. Klient może również podjąć następujące środki w celu dalszej ochrony przed atakami fizycznymi.
ZA: Tak. Problem dotyczy systemów operacyjnych Windows. Złośliwy podmiot, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może załadować podatny na ataki plik binarny GRUB UEFI i złośliwe oprogramowanie w czasie rozruchu. Patrz: ADV200011 - Przewodnik po aktualizacjach zabezpieczeń - Microsoft - Wskazówki firmy Microsoft dotyczące rozwiązywania problemu z obejściem funkcji zabezpieczeń w GRUB
Pytanie: Używam systemu operacyjnego VMWare ESXi. Czy mnie to dotyczy?
ZA. Patrz: Odpowiedź VMware na lukę
w zabezpieczeniach GRUB2Pytanie: Co należy zrobić, aby usunąć tę lukę?
ZA: Poprawka GRUB - W ramach porad dostawców systemów operacyjnych Linux oczekuje się, że wprowadzą oni zaktualizowane pliki binarne GRUB lub, w niektórych przypadkach, również aktualizacje jądra. Zachęcamy do przestrzegania opublikowanych zaleceń dostawców dystrybucji systemu Linux w celu zaktualizowania pakietów, których dotyczy problem, we właściwej kolejności, do najnowszych wersji dostarczanych przez dostawcę dystrybucji systemu Linux.
Pytanie: Używam Linuksa. Jak sprawdzić, czy w systemie jest włączony tryb Secure Boot?
ZA: Aby sprawdzić stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:
Rozruch UEFI jest wyłączony; Bezpieczny rozruch jest wyłączony:
Rozruch UEFI jest włączony; Bezpieczny rozruch jest wyłączony:
Funkcja Secure Boot jest włączona:
Pytanie: Poprawki zostały zainstalowane zgodnie z poradnikami dystrybucji systemu Linux, ale mój system już się nie uruchamia.
ZA: Jeśli bezpieczny rozruch nie powiedzie się po zastosowaniu aktualizacji dostawcy dystrybucji Linuksa, użyj jednej z następujących opcji, aby odzyskać:
Ostrzeżenie: Po zresetowaniu dbx bazy danych do domyślnych ustawień fabrycznych system nie jest już poprawiony i jest podatny na te i wszelkie inne luki w zabezpieczeniach, które zostały naprawione w nowszych aktualizacjach.
Pytanie: Serwer Dell został skonfigurowany w taki sposób, aby nie używał publicznego certyfikatu urzędu certyfikacji UEFI w bazie danych podpisów autoryzowanych (db) bezpiecznego rozruchu. Czy mój serwer Dell jest nadal podatny na ataki GRUB2?
ZA: Nie, po wykonaniu tej czynności zostanie zaimplementowana funkcja dostosowywania UEFI Secure Boot, a system nie będzie już podatny na znane luki w zabezpieczeniach (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Jak sprawdzić, co znajduje się w bazie danych podpisów autoryzowanego rozruchu (db) bezpiecznego rozruchu na serwerze?
ZA: Zapoznaj się z tym dokumentem tutaj. W zależności od tego, jak skonfigurowano kontrolę dostępu, można to zrobić za pomocą ustawień RACADM, WS-MAN, WINRM, Redfish i F2 systemu BIOS.
Dodatkowe źródła:
Aby uzyskać dodatkowe informacje na temat luk w zabezpieczeniach GRUB2, zapoznaj się z artykułem Serwery Dell EMC PowerEdge: Dodatkowe informacje dotyczące luki w zabezpieczeniach GRUB2 — "BootHole"
Pytanie: Których platform dotyczy problem?
ZA: Problem dotyczy serwerów Dell PowerEdge i używanych platform z włączoną funkcją UEFI Secure Boot. Firma Dell zaleca klientom zapoznanie się z poradnikami dostawcy systemów operacyjnych w celu uzyskania dalszych informacji, w tym odpowiedniej identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i zapobiegać nieautoryzowanemu fizycznemu dostępowi do urządzeń. Klient może również podjąć następujące środki w celu dalszej ochrony przed atakami fizycznymi.
- Umożliwia ustawienie hasła administratora systemu BIOS, aby zapobiec zmianom konfiguracji systemu BIOS, np. urządzenia rozruchowego i trybu bezpiecznego rozruchu.
- Skonfiguruj ustawienia rozruchu, aby zezwalać na rozruch tylko z wewnętrznego urządzenia rozruchowego.
ZA: Tak. Problem dotyczy systemów operacyjnych Windows. Złośliwy podmiot, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może załadować podatny na ataki plik binarny GRUB UEFI i złośliwe oprogramowanie w czasie rozruchu. Patrz: ADV200011 - Przewodnik po aktualizacjach zabezpieczeń - Microsoft - Wskazówki firmy Microsoft dotyczące rozwiązywania problemu z obejściem funkcji zabezpieczeń w GRUB
Pytanie: Używam systemu operacyjnego VMWare ESXi. Czy mnie to dotyczy?
ZA. Patrz: Odpowiedź VMware na lukę
w zabezpieczeniach GRUB2Pytanie: Co należy zrobić, aby usunąć tę lukę?
ZA: Poprawka GRUB - W ramach porad dostawców systemów operacyjnych Linux oczekuje się, że wprowadzą oni zaktualizowane pliki binarne GRUB lub, w niektórych przypadkach, również aktualizacje jądra. Zachęcamy do przestrzegania opublikowanych zaleceń dostawców dystrybucji systemu Linux w celu zaktualizowania pakietów, których dotyczy problem, we właściwej kolejności, do najnowszych wersji dostarczanych przez dostawcę dystrybucji systemu Linux.
Pytanie: Używam Linuksa. Jak sprawdzić, czy w systemie jest włączony tryb Secure Boot?
ZA: Aby sprawdzić stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:
Rozruch UEFI jest wyłączony; Bezpieczny rozruch jest wyłączony:
# mokutil --sb-state
Zmienne EFI nie są obsługiwane w tym systemie
Zmienne EFI nie są obsługiwane w tym systemie
Rozruch UEFI jest włączony; Bezpieczny rozruch jest wyłączony:
# mokutil --sb-state
SecureBoot wyłączony
SecureBoot wyłączony
Funkcja Secure Boot jest włączona:
# mokutil --sb-state
SecureBoot włączony
SecureBoot włączony
Pytanie: Poprawki zostały zainstalowane zgodnie z poradnikami dystrybucji systemu Linux, ale mój system już się nie uruchamia.
ZA: Jeśli bezpieczny rozruch nie powiedzie się po zastosowaniu aktualizacji dostawcy dystrybucji Linuksa, użyj jednej z następujących opcji, aby odzyskać:
- Uruchom dysk ratunkowy z płyty DVD i spróbuj ponownie zainstalować poprzednią wersję narzędzia shim, grub2 i jądra.
- Zresetuj bazę danych dbx systemu BIOS do domyślnych wartości fabrycznych i usuń wszystkie zastosowane aktualizacje dbx (od dostawcy systemu operacyjnego lub w inny sposób), postępując zgodnie z następującą procedurą:
1. Przejdź do konfiguracji systemu BIOS (F2)
2. Wybierz opcję "Zabezpieczenia systemu"
3. Ustaw "Secure Boot Policy" na "Custom"
4. Wybierz opcję "Secure Boot Custom Policy Settings"
5. Wybierz "Forbidden Signature Database (dbx)"
6. Wybierz opcję "Przywróć domyślną bazę zabronionych sygnatur" - "Tak" ->> "OK"
7. Ustaw "Secure Boot Policy" na "Standard"
8. Zapisz i zamknij
2. Wybierz opcję "Zabezpieczenia systemu"
3. Ustaw "Secure Boot Policy" na "Custom"
4. Wybierz opcję "Secure Boot Custom Policy Settings"
5. Wybierz "Forbidden Signature Database (dbx)"
6. Wybierz opcję "Przywróć domyślną bazę zabronionych sygnatur" - "Tak" ->> "OK"
7. Ustaw "Secure Boot Policy" na "Standard"
8. Zapisz i zamknij
Ostrzeżenie: Po zresetowaniu dbx bazy danych do domyślnych ustawień fabrycznych system nie jest już poprawiony i jest podatny na te i wszelkie inne luki w zabezpieczeniach, które zostały naprawione w nowszych aktualizacjach.
Pytanie: Serwer Dell został skonfigurowany w taki sposób, aby nie używał publicznego certyfikatu urzędu certyfikacji UEFI w bazie danych podpisów autoryzowanych (db) bezpiecznego rozruchu. Czy mój serwer Dell jest nadal podatny na ataki GRUB2?
ZA: Nie, po wykonaniu tej czynności zostanie zaimplementowana funkcja dostosowywania UEFI Secure Boot, a system nie będzie już podatny na znane luki w zabezpieczeniach (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Jak sprawdzić, co znajduje się w bazie danych podpisów autoryzowanego rozruchu (db) bezpiecznego rozruchu na serwerze?
ZA: Zapoznaj się z tym dokumentem tutaj. W zależności od tego, jak skonfigurowano kontrolę dostępu, można to zrobić za pomocą ustawień RACADM, WS-MAN, WINRM, Redfish i F2 systemu BIOS.
Dodatkowe źródła:
Aby uzyskać dodatkowe informacje na temat luk w zabezpieczeniach GRUB2, zapoznaj się z artykułem Serwery Dell EMC PowerEdge: Dodatkowe informacje dotyczące luki w zabezpieczeniach GRUB2 — "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.