Серверы Dell PowerEdge. Дополнительная информация о раскрытии информации об уязвимости за март 2021 г. (GRUB)
Summary: Уязвимости в GRUB (Grand Unified Bootloader) могут позволить обход безопасной загрузки.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Затронутые продукты:
Серверы Dell PowerEdge и специализированные платформы
Details
Справка:
Рекомендации поставщика операционной системы приведены в следующем уведомлении безопасности Dell. См. статью базы знаний 183699: DSN-2021-002 Реакция Dell на обнаружение уязвимости Grub2 от 2 марта 2021 г.
Recommendations
Часто задаваемые вопросы
Вопрос: Какие платформы затронуты?
Ответ: Затронуты серверы Dell PowerEdge и платформы, для которых включена безопасная загрузка UEFI. Dell рекомендует заказчикам ознакомиться с рекомендациями своего поставщика операционной системы для получения дополнительной информации, включая надлежащую идентификацию и дополнительные меры по смягчению последствий.
Заказчик должен соблюдать передовые практики обеспечения безопасности и предотвращать несанкционированный физический доступ к устройствам. Заказчик также может предпринять следующие меры для дополнительной защиты от физических атак.
Ответ: Да. Подвержены проблеме операционные системы Windows. Злоумышленник, обладающий физическим доступом к платформе или привилегиями администратора ОС, может загрузить уязвимый двоичный файл GRUB UEFI и вредоносное ПО во время загрузки. См. ADV200011 - Руководство по обновлению системы безопасности - Microsoft - Руководство Microsoft по устранению обхода функций безопасности в GRUB
Вопрос: Я использую операционную систему VMWare ESXi. Влияет ли это на меня?
Ответ. См. Реакция VMware на уязвимость
безопасности GRUB2Вопрос: Что необходимо сделать для устранения этой уязвимости?
Ответ: Исправление GRUB — в рамках рекомендаций поставщики операционных систем Linux должны выпускать обновленные двоичные файлы GRUB или, в некоторых случаях, обновления ядра. Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков дистрибутивов Linux и обновлять затронутые пакеты в надлежащем порядке до последних версий, предоставленных поставщиком дистрибутива Linux.
Вопрос: Я использую Linux. Как узнать, включена ли в моей системе безопасная загрузка?
Ответ: Чтобы проверить статус безопасной загрузки системы, используйте следующую команду ОС:
Загрузка UEFI отключена; Безопасная загрузка отключена:
Включена загрузка UEFI; Безопасная загрузка отключена:
Безопасная загрузка включена:
Вопрос: Я установил исправления в соответствии с рекомендациями дистрибутива Linux, но моя система больше не загружается.
A: Если безопасная загрузка завершается сбоем после установки обновлений поставщика дистрибутива Linux, используйте один из следующих вариантов для восстановления:
Предупреждение! После того, как ваша база данных dbx будет сброшена до заводских настроек по умолчанию, ваша система больше не будет исправлена и будет уязвима к этим и любым другим уязвимостям, исправленным в более поздних обновлениях.
Вопрос: Сервер Dell настроен таким образом, чтобы он не использовал общедоступный сертификат UEFI CA в базе данных авторизованных подписей безопасной загрузки (db). По-прежнему ли мой сервер Dell подвержен атакам GRUB2?
Ответ: Нет, после этого будет реализована функция настройки безопасной загрузки UEFI, и ваша система больше не будет восприимчива к известным на данный момент уязвимостям (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE. E-2021-20233 и CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Как просмотреть данные в базе данных Secure Boot Authorized Signature Database (db) моего сервера?
Ответ: Ознакомиться с данным документом можно здесь. Это можно сделать с помощью RACADM, WS-MAN, WINRM, Redfish и программы настройки BIOS клавишей F2 в зависимости от того, как вы настроили контроль доступа.
Дополнительные материалы
Дополнительные сведения об уязвимостях GRUB2 см. в документе Серверы Dell EMC PowerEdge. Дополнительная информация об уязвимости GRUB2 — «BootHole»
Вопрос: Какие платформы затронуты?
Ответ: Затронуты серверы Dell PowerEdge и платформы, для которых включена безопасная загрузка UEFI. Dell рекомендует заказчикам ознакомиться с рекомендациями своего поставщика операционной системы для получения дополнительной информации, включая надлежащую идентификацию и дополнительные меры по смягчению последствий.
Заказчик должен соблюдать передовые практики обеспечения безопасности и предотвращать несанкционированный физический доступ к устройствам. Заказчик также может предпринять следующие меры для дополнительной защиты от физических атак.
- Задайте пароль администратора BIOS, чтобы предотвратить изменения конфигурации настройки BIOS, например загрузочного устройства и режима безопасной загрузки.
- Настройте параметры загрузки таким образом, чтобы разрешить загрузку только с внутреннего загрузочного устройства.
Ответ: Да. Подвержены проблеме операционные системы Windows. Злоумышленник, обладающий физическим доступом к платформе или привилегиями администратора ОС, может загрузить уязвимый двоичный файл GRUB UEFI и вредоносное ПО во время загрузки. См. ADV200011 - Руководство по обновлению системы безопасности - Microsoft - Руководство Microsoft по устранению обхода функций безопасности в GRUB
Вопрос: Я использую операционную систему VMWare ESXi. Влияет ли это на меня?
Ответ. См. Реакция VMware на уязвимость
безопасности GRUB2Вопрос: Что необходимо сделать для устранения этой уязвимости?
Ответ: Исправление GRUB — в рамках рекомендаций поставщики операционных систем Linux должны выпускать обновленные двоичные файлы GRUB или, в некоторых случаях, обновления ядра. Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков дистрибутивов Linux и обновлять затронутые пакеты в надлежащем порядке до последних версий, предоставленных поставщиком дистрибутива Linux.
Вопрос: Я использую Linux. Как узнать, включена ли в моей системе безопасная загрузка?
Ответ: Чтобы проверить статус безопасной загрузки системы, используйте следующую команду ОС:
Загрузка UEFI отключена; Безопасная загрузка отключена:
# mokutil --sb-state
Переменные EFI не поддерживаются в этой системе
Переменные EFI не поддерживаются в этой системе
Включена загрузка UEFI; Безопасная загрузка отключена:
# mokutil --sb-state
SecureBoot отключен
SecureBoot отключен
Безопасная загрузка включена:
# mokutil --sb-state
SecureBoot включен
SecureBoot включен
Вопрос: Я установил исправления в соответствии с рекомендациями дистрибутива Linux, но моя система больше не загружается.
A: Если безопасная загрузка завершается сбоем после установки обновлений поставщика дистрибутива Linux, используйте один из следующих вариантов для восстановления:
- Загрузите DVD-диск и попытайтесь переустановить предыдущую версию shim, grub2 и ядра.
- Сбросьте базу данных dbx BIOS до заводских настроек по умолчанию и удалите все примененные обновления dbx (от поставщика ОС или другими способами), выполнив следующие действия.
1. Войдите в программу настройки BIOS (F2)
2. Выберите «Безопасность системы»
3. Установите для параметра «Secure Boot Policy» значение «Custom»
4. Выберите «Secure Boot Custom Policy Settings».
5. Выберите «Forbidden Signature Database (dbx)»
6. Выберите «Восстановить базу данных запрещенных подписей по умолчанию» -> «Да» -> «ОК»
7. Установите для параметра «Secure Boot Policy» значение «Standard»
8. Сохранить и выйти
2. Выберите «Безопасность системы»
3. Установите для параметра «Secure Boot Policy» значение «Custom»
4. Выберите «Secure Boot Custom Policy Settings».
5. Выберите «Forbidden Signature Database (dbx)»
6. Выберите «Восстановить базу данных запрещенных подписей по умолчанию» -> «Да» -> «ОК»
7. Установите для параметра «Secure Boot Policy» значение «Standard»
8. Сохранить и выйти
Предупреждение! После того, как ваша база данных dbx будет сброшена до заводских настроек по умолчанию, ваша система больше не будет исправлена и будет уязвима к этим и любым другим уязвимостям, исправленным в более поздних обновлениях.
Вопрос: Сервер Dell настроен таким образом, чтобы он не использовал общедоступный сертификат UEFI CA в базе данных авторизованных подписей безопасной загрузки (db). По-прежнему ли мой сервер Dell подвержен атакам GRUB2?
Ответ: Нет, после этого будет реализована функция настройки безопасной загрузки UEFI, и ваша система больше не будет восприимчива к известным на данный момент уязвимостям (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE. E-2021-20233 и CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Как просмотреть данные в базе данных Secure Boot Authorized Signature Database (db) моего сервера?
Ответ: Ознакомиться с данным документом можно здесь. Это можно сделать с помощью RACADM, WS-MAN, WINRM, Redfish и программы настройки BIOS клавишей F2 в зависимости от того, как вы настроили контроль доступа.
Дополнительные материалы
Дополнительные сведения об уязвимостях GRUB2 см. в документе Серверы Dell EMC PowerEdge. Дополнительная информация об уязвимости GRUB2 — «BootHole»
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.