Servidores Dell PowerEdge: Informações adicionais sobre a divulgação de vulnerabilidades de março de 2021 (GRUB)
Summary: Vulnerabilidades no GRUB (Grand Unified Bootloader) podem permitir ignorar a inicialização segura.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Produtos afetados:
Servidores Dell PowerEdge e plataformas utilizadas
Details
Referência:
Os avisos do provedor de sistema operacional podem ser encontrados no seguinte Aviso de segurança da Dell. Consulte o artigo da base de conhecimento 183699: DSN-2021-002 Resposta da Dell à divulgação da vulnerabilidade Grub2 de 2 de março de 2021
Recommendations
Perguntas frequentes:
P: Quais plataformas são afetadas?
Uma: Os servidores Dell PowerEdge e as plataformas aproveitadas que têm a inicialização segura UEFI habilitada são afetados. A Dell recomenda que os clientes analisem os avisos do provedor de sistema operacional para obter mais informações, incluindo identificação apropriada e medidas adicionais de redução.
O cliente deve seguir as práticas recomendadas de segurança e impedir o acesso físico não autorizado aos dispositivos. O Cliente também pode tomar as seguintes medidas para se proteger ainda mais de ataques físicos.
Uma: Sim. Os sistemas operacionais Windows são afetados. Um agente mal-intencionado que tenha acesso físico à plataforma ou privilégios de administrador do sistema operacional pode carregar um malware binário UEFI GRUB vulnerável e no tempo de inicialização. Consulte: ADV200011 - Guia de atualização de segurança - Microsoft - Orientação da Microsoft para lidar com o desvio do recurso de segurança no GRUB
P: Eu uso o sistema operacional VMware ESXi. Sou impactado?
Não. Consulte: Resposta da VMware à vulnerabilidade
de segurança do GRUB2P: O que preciso fazer para resolver essa vulnerabilidade?
Uma: Patch GRUB - Como parte dos avisos dos fornecedores de sistemas operacionais Linux, espera-se que eles implementem binários GRUB atualizados ou, em alguns casos, atualizações de kernel também. Recomendamos que você siga as recomendações publicadas dos fornecedores de distribuição Linux para atualizar os pacotes afetados, na ordem correta, para as versões mais recentes fornecidas pelo fornecedor de distribuição Linux.
P: Estou executando o Linux. Como saber se tenho a inicialização segura ativada no meu sistema?
Uma: Para verificar o status da inicialização segura do sistema, use o seguinte comando do sistema operacional:
A inicialização UEFI está desativada; A inicialização segura está desativada:
A inicialização UEFI está ativada; A inicialização segura está desativada:
A inicialização segura está ativada:
P: Eu instalei os patches seguindo os avisos de distribuição do Linux, mas meu sistema não inicializa mais.
Um: Se o Secure Boot falhar depois de aplicar as atualizações do fornecedor de distribuição Linux, use uma das seguintes opções para recuperar:
Advertência: Depois que o banco de dados dbx é redefinido para o padrão de fábrica, seu sistema não é mais corrigido e fica vulnerável a essas e a quaisquer outras vulnerabilidades corrigidas em atualizações posteriores.
P: Configurei meu servidor Dell para que ele não use o certificado público UEFI CA no banco de dados de assinaturas autorizadas (db) de inicialização segura. Meu servidor Dell ainda está suscetível a ataques GRUB2?
Uma: Não, depois de fazer isso, você implementará o recurso UEFI Secure Boot Customization e seu sistema não estará mais suscetível às vulnerabilidades atualmente conhecidas (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 e CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Como faço para visualizar o que há no banco de dados de assinatura autorizada (db) de inicialização segura do meu servidor?
Uma: Analise este documento aqui. Você pode fazer isso por meio da configuração do RACADM, WS-MAN, WINRM, Redfish e BIOS F2, dependendo de como configurou o controle de acesso.
Referências adicionais:
Para obter informações adicionais sobre as vulnerabilidades do GRUB2, consulte Servidores Dell EMC PowerEdge: Informações adicionais sobre a vulnerabilidade GRUB2 – "BootHole"
P: Quais plataformas são afetadas?
Uma: Os servidores Dell PowerEdge e as plataformas aproveitadas que têm a inicialização segura UEFI habilitada são afetados. A Dell recomenda que os clientes analisem os avisos do provedor de sistema operacional para obter mais informações, incluindo identificação apropriada e medidas adicionais de redução.
O cliente deve seguir as práticas recomendadas de segurança e impedir o acesso físico não autorizado aos dispositivos. O Cliente também pode tomar as seguintes medidas para se proteger ainda mais de ataques físicos.
- Defina a senha de administrador do BIOS para evitar a alteração da configuração do BIOS, como o dispositivo de inicialização e o modo de inicialização segura.
- Defina as configurações de inicialização para permitir apenas a inicialização no dispositivo de inicialização interno.
Uma: Sim. Os sistemas operacionais Windows são afetados. Um agente mal-intencionado que tenha acesso físico à plataforma ou privilégios de administrador do sistema operacional pode carregar um malware binário UEFI GRUB vulnerável e no tempo de inicialização. Consulte: ADV200011 - Guia de atualização de segurança - Microsoft - Orientação da Microsoft para lidar com o desvio do recurso de segurança no GRUB
P: Eu uso o sistema operacional VMware ESXi. Sou impactado?
Não. Consulte: Resposta da VMware à vulnerabilidade
de segurança do GRUB2P: O que preciso fazer para resolver essa vulnerabilidade?
Uma: Patch GRUB - Como parte dos avisos dos fornecedores de sistemas operacionais Linux, espera-se que eles implementem binários GRUB atualizados ou, em alguns casos, atualizações de kernel também. Recomendamos que você siga as recomendações publicadas dos fornecedores de distribuição Linux para atualizar os pacotes afetados, na ordem correta, para as versões mais recentes fornecidas pelo fornecedor de distribuição Linux.
P: Estou executando o Linux. Como saber se tenho a inicialização segura ativada no meu sistema?
Uma: Para verificar o status da inicialização segura do sistema, use o seguinte comando do sistema operacional:
A inicialização UEFI está desativada; A inicialização segura está desativada:
# mokutil --sb-state
Variáveis EFI não são suportadas neste sistema
Variáveis EFI não são suportadas neste sistema
A inicialização UEFI está ativada; A inicialização segura está desativada:
# mokutil --sb-state
SecureBoot desativado
SecureBoot desativado
A inicialização segura está ativada:
# mokutil --sb-state
SecureBoot ativado
SecureBoot ativado
P: Eu instalei os patches seguindo os avisos de distribuição do Linux, mas meu sistema não inicializa mais.
Um: Se o Secure Boot falhar depois de aplicar as atualizações do fornecedor de distribuição Linux, use uma das seguintes opções para recuperar:
- Inicialize em um DVD de resgate e tente reinstalar a versão anterior do shim, grub2 e kernel.
- Redefina o banco de dados dbx do BIOS para o valor padrão de fábrica e remova todas as atualizações aplicadas dbx (do fornecedor do sistema operacional ou de outros meios) usando o seguinte procedimento:
1. Entre na configuração do BIOS (F2)
2. Selecione "System Security"
3. Defina "Secure Boot Policy" como "Custom"
4. Selecione "Secure Boot Custom Policy Settings"
5. Selecione "Forbidden Signature Database (dbx)"
6. Selecione "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Defina "Secure Boot Policy" como "Standard"
8. Salvar e sair
2. Selecione "System Security"
3. Defina "Secure Boot Policy" como "Custom"
4. Selecione "Secure Boot Custom Policy Settings"
5. Selecione "Forbidden Signature Database (dbx)"
6. Selecione "Restore Default Forbidden Signature Database" -> "Yes" -> "OK"
7. Defina "Secure Boot Policy" como "Standard"
8. Salvar e sair
Advertência: Depois que o banco de dados dbx é redefinido para o padrão de fábrica, seu sistema não é mais corrigido e fica vulnerável a essas e a quaisquer outras vulnerabilidades corrigidas em atualizações posteriores.
P: Configurei meu servidor Dell para que ele não use o certificado público UEFI CA no banco de dados de assinaturas autorizadas (db) de inicialização segura. Meu servidor Dell ainda está suscetível a ataques GRUB2?
Uma: Não, depois de fazer isso, você implementará o recurso UEFI Secure Boot Customization e seu sistema não estará mais suscetível às vulnerabilidades atualmente conhecidas (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 e CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Como faço para visualizar o que há no banco de dados de assinatura autorizada (db) de inicialização segura do meu servidor?
Uma: Analise este documento aqui. Você pode fazer isso por meio da configuração do RACADM, WS-MAN, WINRM, Redfish e BIOS F2, dependendo de como configurou o controle de acesso.
Referências adicionais:
Para obter informações adicionais sobre as vulnerabilidades do GRUB2, consulte Servidores Dell EMC PowerEdge: Informações adicionais sobre a vulnerabilidade GRUB2 – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.