Dell PowerEdge Sunucuları: Mart 2021 (GRUB) Güvenlik Açığı İfşasına İlişkin Ek Bilgiler
Summary: GRUB'daki (Grand Unified Bootloader) güvenlik açıkları, Güvenli Önyüklemenin atlanmasına izin verebilir.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Etkilenen ürünler:
Dell PowerEdge Sunucular ve kaldıraçlı platformlar
Details
Referans:
İşletim sistemi sağlayıcılarına yönelik tavsiyeler aşağıdaki Dell Güvenlik Bildirimi raporunda yer almaktadır. Şu KB makalesine başvurun 183699: DSN-2021-002 2 Mart 2021 Grub2 Güvenlik Açığı Açıklamasına Dell yanıtı
Recommendations
Sık Sorulan Sorular:
Soru: Hangi platformlar etkileniyor?
Cevap: UEFI Güvenli Önyüklemenin etkinleştirildiği Dell PowerEdge Sunucuları ve kaldıraçlı platformlar etkilenecektir. Dell, müşterilerin uygun tanımlama ve ek risk azaltma önlemleri dahil olmak üzere daha fazla bilgi için İşletim Sistemi sağlayıcılarının önerilerini incelemelerini önerir.
Müşteri, en iyi güvenlik uygulamalarını takip etmeli ve aygıtlara yetkisiz fiziksel erişimi önlemelidir. Müşteri ayrıca kendisini fiziksel saldırılardan korumak için aşağıdaki önlemleri alabilir.
Cevap: Evet. Windows İşletim Sistemleri etkilenmiştir. Platforma fiziksel erişimi veya işletim sistemi yöneticisi ayrıcalıkları olan kötü amaçlı bir aktör, güvenlik açığı bulunan bir GRUB UEFI ikili dosyası ve önyükleme zamanı kötü amaçlı yazılımı yükleyebilir. Aşağıdakilere bakın: ADV200011 - Güvenlik Güncelleştirmesi Kılavuzu - Microsoft - GRUB'de
Güvenlik Özelliği Atlamaya Yönelik Microsoft KılavuzuSoru: VMWare ESXi İşletim Sistemini kullanıyorum. Etkilenir miyim?
Bir. Aşağıdakilere bakın: GRUB2 güvenlik açığına
VMware yanıtıSoru: Bu güvenlik açığını gidermek için ne yapmam gerekiyor?
Cevap: GRUB Yaması - Linux İşletim Sistemi satıcılarının önerilerinin bir parçası olarak, güncelleştirilmiş GRUB ikili dosyalarını veya bazı durumlarda çekirdek güncelleştirmelerini de kullanıma sunmaları beklenir. Etkilenen paketleri, Linux dağıtım satıcısı tarafından sağlanan en son sürümlere uygun sırayla güncelleştirmek için Linux dağıtım satıcılarının yayınlanmış önerilerini izlemenizi öneririz.
Soru: Linux kullanıyorum. Sistemimde Güvenli Önyüklemenin etkin olup olmadığını nasıl anlarım?
Cevap: Sisteminizin Güvenli Önyükleme durumunu doğrulamak için aşağıdaki işletim sistemi komutunu kullanın:
UEFI Önyüklemesi devre dışı; Güvenli Önyükleme devre dışıdır:
UEFI Önyüklemesi etkindir; Güvenli Önyükleme devre dışıdır:
Güvenli Önyükleme etkindir:
Soru: Linux dağıtım önerilerini izleyerek yamaları yükledim ancak sistemim artık önyükleme yapmıyor.
Cevap: Linux dağıtım satıcısının güncellemelerini uyguladıktan sonra Güvenli Önyükleme başarısız olursa, kurtarmak için aşağıdaki seçeneklerden birini kullanın:
Uyarı: dbx veritabanınız fabrika varsayılanına sıfırlandıktan sonra, sisteminiz artık düzeltme eki uygulanmaz ve bunlara ve diğer güvenlik açıklarına karşı savunmasızdır ve sonraki güncelleştirmelerde düzeltilir.
Soru: Dell sunucumu, Güvenli Önyükleme Yetkili İmza Veritabanındaki (db) genel UEFI CA sertifikasını kullanmayacak şekilde yapılandırdım. Dell sunucum GRUB2 saldırılarına karşı hâlâ hassas mı?
Cevap: Hayır, bunu yaptıktan sonra UEFI Güvenli Önyükleme Özelleştirmesi özelliğini uygulamış olursunuz ve sisteminiz artık bilinen güvenlik açıklarına karşı savunmasız kalır (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ve CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Sunucumun Güvenli Önyükleme Yetkili İmza Veritabanında (db) ne olduğunu nasıl görüntüleyebilirim?
Cevap: Lütfen bu belgeyi buradan inceleyin. Bunu, erişim denetimini nasıl yapılandırdığınıza bağlı olarak RACADM, WS-MAN, WINRM, Redfish ve BIOS F2 Kurulumu aracılığıyla yapabilirsiniz.
Ek Referanslar:
GRUB2 güvenlik açıkları hakkında ek bilgi için Dell EMC PowerEdge Sunucularına bakın: GRUB2 Güvenlik Açığı – "BootHole" Hakkında Ek Bilgiler
Soru: Hangi platformlar etkileniyor?
Cevap: UEFI Güvenli Önyüklemenin etkinleştirildiği Dell PowerEdge Sunucuları ve kaldıraçlı platformlar etkilenecektir. Dell, müşterilerin uygun tanımlama ve ek risk azaltma önlemleri dahil olmak üzere daha fazla bilgi için İşletim Sistemi sağlayıcılarının önerilerini incelemelerini önerir.
Müşteri, en iyi güvenlik uygulamalarını takip etmeli ve aygıtlara yetkisiz fiziksel erişimi önlemelidir. Müşteri ayrıca kendisini fiziksel saldırılardan korumak için aşağıdaki önlemleri alabilir.
- Önyükleme aygıtı ve Güvenli Önyükleme modu gibi BIOS Kurulum yapılandırmasının değiştirilmesini önlemek için BIOS Yönetici Parolası ayarlayın.
- Önyükleme ayarlarını yalnızca dahili önyükleme aygıtına önyüklemeye izin verecek şekilde yapılandırın.
Cevap: Evet. Windows İşletim Sistemleri etkilenmiştir. Platforma fiziksel erişimi veya işletim sistemi yöneticisi ayrıcalıkları olan kötü amaçlı bir aktör, güvenlik açığı bulunan bir GRUB UEFI ikili dosyası ve önyükleme zamanı kötü amaçlı yazılımı yükleyebilir. Aşağıdakilere bakın: ADV200011 - Güvenlik Güncelleştirmesi Kılavuzu - Microsoft - GRUB'de
Güvenlik Özelliği Atlamaya Yönelik Microsoft KılavuzuSoru: VMWare ESXi İşletim Sistemini kullanıyorum. Etkilenir miyim?
Bir. Aşağıdakilere bakın: GRUB2 güvenlik açığına
VMware yanıtıSoru: Bu güvenlik açığını gidermek için ne yapmam gerekiyor?
Cevap: GRUB Yaması - Linux İşletim Sistemi satıcılarının önerilerinin bir parçası olarak, güncelleştirilmiş GRUB ikili dosyalarını veya bazı durumlarda çekirdek güncelleştirmelerini de kullanıma sunmaları beklenir. Etkilenen paketleri, Linux dağıtım satıcısı tarafından sağlanan en son sürümlere uygun sırayla güncelleştirmek için Linux dağıtım satıcılarının yayınlanmış önerilerini izlemenizi öneririz.
Soru: Linux kullanıyorum. Sistemimde Güvenli Önyüklemenin etkin olup olmadığını nasıl anlarım?
Cevap: Sisteminizin Güvenli Önyükleme durumunu doğrulamak için aşağıdaki işletim sistemi komutunu kullanın:
UEFI Önyüklemesi devre dışı; Güvenli Önyükleme devre dışıdır:
# mokutil --sb-state
EFI değişkenleri bu sistemde desteklenmiyor
EFI değişkenleri bu sistemde desteklenmiyor
UEFI Önyüklemesi etkindir; Güvenli Önyükleme devre dışıdır:
# mokutil --sb-state
SecureBoot disabled
SecureBoot disabled
Güvenli Önyükleme etkindir:
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
Soru: Linux dağıtım önerilerini izleyerek yamaları yükledim ancak sistemim artık önyükleme yapmıyor.
Cevap: Linux dağıtım satıcısının güncellemelerini uyguladıktan sonra Güvenli Önyükleme başarısız olursa, kurtarmak için aşağıdaki seçeneklerden birini kullanın:
- Kurtarma DVD sine önyükleme yapın ve shim, grub2 ve kernel in önceki sürümünü yeniden yüklemeyi deneyin.
- Aşağıdaki prosedürü kullanarak BIOS dbx veritabanını fabrika varsayılan değerine sıfırlayın ve dbx uygulanan tüm güncellemeleri kaldırın (işletim sistemi satıcısından veya başka yollardan):
1. BIOS Kurulumuna (F2)
girin 2. "Sistem Güvenliği"
ni seçin 3. Secure Boot Policy" öğesini "Custom"
olarak ayarlayın 4. Güvenli Önyükleme Özel Politikası Ayarları"
nı seçin 5. "Yasaklı İmza Veritabanı (dbx)"
öğesini seçin 6. "Varsayılan Yasaklı İmza Veritabanını Geri Yükle" -> "Evet" -> "Tamam"
ı seçin 7. "Güvenli Önyükleme Politikası"nı "Standart"
olarak ayarlayın 8. Kaydet ve çık
girin 2. "Sistem Güvenliği"
ni seçin 3. Secure Boot Policy" öğesini "Custom"
olarak ayarlayın 4. Güvenli Önyükleme Özel Politikası Ayarları"
nı seçin 5. "Yasaklı İmza Veritabanı (dbx)"
öğesini seçin 6. "Varsayılan Yasaklı İmza Veritabanını Geri Yükle" -> "Evet" -> "Tamam"
ı seçin 7. "Güvenli Önyükleme Politikası"nı "Standart"
olarak ayarlayın 8. Kaydet ve çık
Uyarı: dbx veritabanınız fabrika varsayılanına sıfırlandıktan sonra, sisteminiz artık düzeltme eki uygulanmaz ve bunlara ve diğer güvenlik açıklarına karşı savunmasızdır ve sonraki güncelleştirmelerde düzeltilir.
Soru: Dell sunucumu, Güvenli Önyükleme Yetkili İmza Veritabanındaki (db) genel UEFI CA sertifikasını kullanmayacak şekilde yapılandırdım. Dell sunucum GRUB2 saldırılarına karşı hâlâ hassas mı?
Cevap: Hayır, bunu yaptıktan sonra UEFI Güvenli Önyükleme Özelleştirmesi özelliğini uygulamış olursunuz ve sisteminiz artık bilinen güvenlik açıklarına karşı savunmasız kalır (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 ve CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Sunucumun Güvenli Önyükleme Yetkili İmza Veritabanında (db) ne olduğunu nasıl görüntüleyebilirim?
Cevap: Lütfen bu belgeyi buradan inceleyin. Bunu, erişim denetimini nasıl yapılandırdığınıza bağlı olarak RACADM, WS-MAN, WINRM, Redfish ve BIOS F2 Kurulumu aracılığıyla yapabilirsiniz.
Ek Referanslar:
GRUB2 güvenlik açıkları hakkında ek bilgi için Dell EMC PowerEdge Sunucularına bakın: GRUB2 Güvenlik Açığı – "BootHole" Hakkında Ek Bilgiler
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.