Dell PowerEdge-servrar: Ytterligare information om offentliggörandet av sårbarheten i mars 2021 (GRUB)
Summary: Sårbarheter i GRUB (Grand Unified Bootloader) kan möjliggöra förbikoppling av säker start.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Berörda produkter:
Dell PowerEdge-servrar och begagnade plattformar
Details
Referens:
Informationen från leverantören av operativsystemet finns i följande säkerhetsmeddelande från Dell. Mer information finns i KB-artikeln 183699: DSN-2021-002 Dells svar på Grub2-sårbarhetsinformation från den 2 mars 2021
Recommendations
Vanliga frågor och svar:
Fråga: Vilka plattformar påverkas?
Svar: Dell PowerEdge-servrar och utnyttjade plattformar som har UEFI Secure Boot aktiverat påverkas. Dell rekommenderar att kunder läser igenom sin operativsystemleverantörs råd för ytterligare information, inklusive lämplig identifiering och ytterligare riskreducerande åtgärder.
Kunden ska följa bästa säkerhetspraxis och förhindra obehörig fysisk åtkomst till enheterna. Kunden kan även vidta följande åtgärder för att ytterligare skydda sig mot fysiska attacker.
Svar: Ja. Windows-operativsystem påverkas. En illvillig aktör som har fysisk åtkomst till plattformen, eller OS-administratörsbehörighet, kan läsa in en sårbar GRUB UEFI-binärkod och starttidsskadlig kod. Mer information finns i: ADV200011 – Säkerhetsuppdateringsguide – Microsoft – Microsofts vägledning för att åtgärda förbikoppling av säkerhetsfunktioner i GRUB
Fråga: Jag använder operativsystemet VMWare ESXi. Påverkas jag?
Svar: Mer information finns i: VMwares svar på GRUB2-säkerhetsproblem
Fråga: Vad behöver jag göra för att åtgärda det här säkerhetsproblemet?
Svar: GRUB-korrigering – Som en del av Linux-operativsystemleverantörernas rekommendationer förväntas de rulla ut uppdaterade GRUB-binärfiler eller i vissa fall även kärnuppdateringar. Vi rekommenderar att du följer de publicerade rekommendationerna från Linux-distributionsleverantörerna för att uppdatera de berörda paketen, i rätt ordning, till de senaste versionerna som tillhandahålls av Linux-distributionsleverantören.
Fråga: Jag kör Linux. Hur vet jag om jag har aktiverat säker start på mitt system?
Svar: För att verifiera status för säker start för ditt system, använd följande OS-kommando:
UEFI-start är inaktiverad. Säker start är inaktiverat:
UEFI-start är aktiverat. Säker start är inaktiverat:
Säker start är aktiverat:
Fråga: Jag installerade korrigeringsfilerna enligt Linux-distributionsrekommendationerna, men mitt system startar inte längre.
Svar: Om säker start misslyckas efter att Linux-distributionsleverantörens uppdateringar har tillämpats använder du något av följande alternativ för att återställa:
Varning! När dbx-databasen har återställts till fabriksinställningarna korrigeras inte längre systemet och är sårbart för dessa och andra sårbarheter som åtgärdas i senare uppdateringar.
Fråga: Jag har konfigurerat min Dell-server så att den inte använder det offentliga UEFI CA-certifikatet i databasen Secure Boot Authorized Signature Database (db). Är min Dell-server fortfarande mottaglig för GRUB2-attacker?
Svar: Nej, när du har gjort detta har du implementerat funktionen UEFI Secure Boot Customization och systemet är inte längre mottagligt för de kända säkerhetsriskerna (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021–20233 och CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hur visar jag vad som finns i min servers databas för auktoriserade signaturer för säker start (db)?
Svar: Läs detta dokument här. Du kan göra detta via konfigurationen av RACADM, WS-MAN, WINRM, Redfish och BIOS F2, beroende på hur du har konfigurerat åtkomstkontroll.
Mer information:
Mer information om GRUB2-sårbarheter finns i Dell EMC PowerEdge-servrar: Ytterligare information om GRUB2-sårbarheten – "BootHole"
Fråga: Vilka plattformar påverkas?
Svar: Dell PowerEdge-servrar och utnyttjade plattformar som har UEFI Secure Boot aktiverat påverkas. Dell rekommenderar att kunder läser igenom sin operativsystemleverantörs råd för ytterligare information, inklusive lämplig identifiering och ytterligare riskreducerande åtgärder.
Kunden ska följa bästa säkerhetspraxis och förhindra obehörig fysisk åtkomst till enheterna. Kunden kan även vidta följande åtgärder för att ytterligare skydda sig mot fysiska attacker.
- Ställ in BIOS Admin Password för att förhindra ändring av BIOS Setup-konfigurationen, t.ex. startenhet, och Secure Boot-läge.
- Konfigurera startinställningarna så att start endast tillåts från den interna startenheten.
Svar: Ja. Windows-operativsystem påverkas. En illvillig aktör som har fysisk åtkomst till plattformen, eller OS-administratörsbehörighet, kan läsa in en sårbar GRUB UEFI-binärkod och starttidsskadlig kod. Mer information finns i: ADV200011 – Säkerhetsuppdateringsguide – Microsoft – Microsofts vägledning för att åtgärda förbikoppling av säkerhetsfunktioner i GRUB
Fråga: Jag använder operativsystemet VMWare ESXi. Påverkas jag?
Svar: Mer information finns i: VMwares svar på GRUB2-säkerhetsproblem
Fråga: Vad behöver jag göra för att åtgärda det här säkerhetsproblemet?
Svar: GRUB-korrigering – Som en del av Linux-operativsystemleverantörernas rekommendationer förväntas de rulla ut uppdaterade GRUB-binärfiler eller i vissa fall även kärnuppdateringar. Vi rekommenderar att du följer de publicerade rekommendationerna från Linux-distributionsleverantörerna för att uppdatera de berörda paketen, i rätt ordning, till de senaste versionerna som tillhandahålls av Linux-distributionsleverantören.
Fråga: Jag kör Linux. Hur vet jag om jag har aktiverat säker start på mitt system?
Svar: För att verifiera status för säker start för ditt system, använd följande OS-kommando:
UEFI-start är inaktiverad. Säker start är inaktiverat:
# mokutil --sb-state
EFI-variabler stöds inte i det här systemet
EFI-variabler stöds inte i det här systemet
UEFI-start är aktiverat. Säker start är inaktiverat:
# mokutil --sb-state
: SecureBoot inaktiverad
: SecureBoot inaktiverad
Säker start är aktiverat:
# mokutil --sb-state
SecureBoot aktiverat
SecureBoot aktiverat
Fråga: Jag installerade korrigeringsfilerna enligt Linux-distributionsrekommendationerna, men mitt system startar inte längre.
Svar: Om säker start misslyckas efter att Linux-distributionsleverantörens uppdateringar har tillämpats använder du något av följande alternativ för att återställa:
- Starta upp till en räddnings-DVD och försök att installera om den tidigare versionen av shim, grub2 och kernel.
- Återställ BIOS dbx-databasen till fabriksinställningarna och ta bort alla dbx-tillämpade uppdateringar (antingen från OS-leverantören eller på annat sätt) med hjälp av följande procedur:
1. Öppna BIOS-inställningarna (F2)
2. Välj "System Security"
3. Ställ in Secure Boot Policy på Custom
4. Välj "Secure Boot Custom Policy Settings"
5. Välj "Forbidden Signature Database (dbx)"
6. Välj "Restore Default Forden Signden Database" -> "Yes" -> "OK"
7. Ställ in Secure Boot Policy på Standard
8. Spara och avsluta
2. Välj "System Security"
3. Ställ in Secure Boot Policy på Custom
4. Välj "Secure Boot Custom Policy Settings"
5. Välj "Forbidden Signature Database (dbx)"
6. Välj "Restore Default Forden Signden Database" -> "Yes" -> "OK"
7. Ställ in Secure Boot Policy på Standard
8. Spara och avsluta
Varning! När dbx-databasen har återställts till fabriksinställningarna korrigeras inte längre systemet och är sårbart för dessa och andra sårbarheter som åtgärdas i senare uppdateringar.
Fråga: Jag har konfigurerat min Dell-server så att den inte använder det offentliga UEFI CA-certifikatet i databasen Secure Boot Authorized Signature Database (db). Är min Dell-server fortfarande mottaglig för GRUB2-attacker?
Svar: Nej, när du har gjort detta har du implementerat funktionen UEFI Secure Boot Customization och systemet är inte längre mottagligt för de kända säkerhetsriskerna (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021–20233 och CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Hur visar jag vad som finns i min servers databas för auktoriserade signaturer för säker start (db)?
Svar: Läs detta dokument här. Du kan göra detta via konfigurationen av RACADM, WS-MAN, WINRM, Redfish och BIOS F2, beroende på hur du har konfigurerat åtkomstkontroll.
Mer information:
Mer information om GRUB2-sårbarheter finns i Dell EMC PowerEdge-servrar: Ytterligare information om GRUB2-sårbarheten – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.