Сервери Dell PowerEdge: Додаткова інформація щодо розкриття інформації про вразливість за березень 2021 року (GRUB)
Summary: Уразливості в GRUB (Grand Unified Bootloader) можуть дозволити обхід Secure Boot.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Security Article Type
Security KB
CVE Identifier
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Issue Summary
Продукти, на які вплинули:
Сервери Dell PowerEdge і платформи з кредитним плечем
Details
Довідка:
Рекомендації постачальника операційної системи містяться в наступному Повідомленні про безпеку Dell. Зверніться до статті КБ 183699: Відповідь DSN-2021-002 Dell на розкриття вразливості Grub2 від 2 березня 2021 року
Recommendations
Часто задавані питання:
П: Яких платформ це стосується?
Відповідь: Це впливає на сервери Dell PowerEdge і платформи з кредитним плечем, які мають увімкнене UEFI Secure Boot. Dell рекомендує клієнтам ознайомитися з рекомендаціями постачальника операційної системи для отримання додаткової інформації, включаючи відповідну ідентифікацію та додаткові заходи щодо пом'якшення наслідків.
Клієнт повинен дотримуватися найкращих практик безпеки та запобігати несанкціонованому фізичному доступу до пристроїв. Клієнт також може вжити наступних заходів для додаткового захисту від фізичних нападів.
Відповідь: Так. Це впливає на операційні системи Windows. Зловмисник, який має фізичний доступ до платформи або права адміністратора ОС, може завантажити вразливий двійковий файл GRUB UEFI та шкідливе програмне забезпечення під час завантаження. Звертайтеся до: ADV200011 - Посібник з оновлень системи безпеки - Microsoft - Настанови Microsoft щодо вирішення проблеми обходу функцій безпеки в GRUB
П: Я використовую операційну систему VMWare ESXi. Чи це вплине на мене?
В. Звертайтеся до: Відповідь VMware на вразливість
безпеки GRUB2П: Що мені потрібно зробити, щоб усунути цю вразливість?
Відповідь: Патч GRUB - Очікується, що в рамках рекомендацій постачальників операційних систем Linux вони випустять оновлені двійкові файли GRUB або, в деяких випадках, оновлення ядра. Ми рекомендуємо вам слідувати опублікованим рекомендаціям постачальників дистрибутивів Linux, щоб оновити відповідні пакети, у належному порядку, до останніх версій, що постачаються постачальником дистрибутива Linux.
П: Я використовую Linux. Як дізнатися, чи ввімкнено функцію безпечного завантаження в моїй системі?
Відповідь: Щоб перевірити статус безпечного завантаження вашої системи, використовуйте наступну команду ОС:
Завантаження UEFI вимкнено; Безпечне завантаження вимкнено:
увімкнено UEFI Boot; Безпечне завантаження вимкнено:
Безпечне завантаження увімкнено:
П: Я встановив патчі відповідно до рекомендацій дистрибутива Linux, але моя система більше не завантажується.
Відповідь: Якщо після застосування оновлень постачальника дистрибутива Linux не вдається виконати помилку, скористайтеся одним із наступних варіантів відновлення:
Попередження: Як тільки ваша база даних dbx буде скинута до заводських налаштувань за замовчуванням, ваша система більше не виправлятиметься і вразлива до цих та будь-яких інших вразливостей, усунених у пізніших оновленнях.
П: Я налаштував свій сервер Dell таким чином, щоб він не використовував публічний сертифікат CA UEFI з бази даних авторизованих підписів Secure Boot Authorized Signature Database (db). Чи мій сервер Dell все ще вразливий до атак GRUB2?
Відповідь: Ні, як тільки ви це зробите, ви впровадите функцію UEFI Secure Boot Customization, і ваша система більше не буде вразливою до відомих на даний момент вразливостей (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE ve-2021-20233 та CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Як переглянути вміст у базі даних авторизованих підписів (db) мого сервера?
Відповідь: Будь ласка, ознайомтеся з цим документом тут. Ви можете зробити це через RACADM, WS-MAN, WINRM, Redfish і BIOS F2 Setup, в залежності від того, як ви налаштували контроль доступу.
Додаткова література:
Для отримання додаткової інформації про вразливості GRUB2 зверніться до серверів Dell EMC PowerEdge: Додаткова інформація щодо вразливості GRUB2 – "BootHole"
П: Яких платформ це стосується?
Відповідь: Це впливає на сервери Dell PowerEdge і платформи з кредитним плечем, які мають увімкнене UEFI Secure Boot. Dell рекомендує клієнтам ознайомитися з рекомендаціями постачальника операційної системи для отримання додаткової інформації, включаючи відповідну ідентифікацію та додаткові заходи щодо пом'якшення наслідків.
Клієнт повинен дотримуватися найкращих практик безпеки та запобігати несанкціонованому фізичному доступу до пристроїв. Клієнт також може вжити наступних заходів для додаткового захисту від фізичних нападів.
- Встановіть пароль адміністратора BIOS, щоб запобігти зміні конфігурації налаштування BIOS, наприклад завантажувального пристрою та режиму безпечного завантаження.
- Налаштуйте параметри завантаження так, щоб завантаження було дозволено лише на внутрішньому завантажувальному пристрої.
Відповідь: Так. Це впливає на операційні системи Windows. Зловмисник, який має фізичний доступ до платформи або права адміністратора ОС, може завантажити вразливий двійковий файл GRUB UEFI та шкідливе програмне забезпечення під час завантаження. Звертайтеся до: ADV200011 - Посібник з оновлень системи безпеки - Microsoft - Настанови Microsoft щодо вирішення проблеми обходу функцій безпеки в GRUB
П: Я використовую операційну систему VMWare ESXi. Чи це вплине на мене?
В. Звертайтеся до: Відповідь VMware на вразливість
безпеки GRUB2П: Що мені потрібно зробити, щоб усунути цю вразливість?
Відповідь: Патч GRUB - Очікується, що в рамках рекомендацій постачальників операційних систем Linux вони випустять оновлені двійкові файли GRUB або, в деяких випадках, оновлення ядра. Ми рекомендуємо вам слідувати опублікованим рекомендаціям постачальників дистрибутивів Linux, щоб оновити відповідні пакети, у належному порядку, до останніх версій, що постачаються постачальником дистрибутива Linux.
П: Я використовую Linux. Як дізнатися, чи ввімкнено функцію безпечного завантаження в моїй системі?
Відповідь: Щоб перевірити статус безпечного завантаження вашої системи, використовуйте наступну команду ОС:
Завантаження UEFI вимкнено; Безпечне завантаження вимкнено:
# mokutil --sb-state
змінні EFI не підтримуються в цій системі
змінні EFI не підтримуються в цій системі
увімкнено UEFI Boot; Безпечне завантаження вимкнено:
# mokutil --sb-state
SecureBoot вимкнено
SecureBoot вимкнено
Безпечне завантаження увімкнено:
# mokutil --sb-state
SecureBoot включено
SecureBoot включено
П: Я встановив патчі відповідно до рекомендацій дистрибутива Linux, але моя система більше не завантажується.
Відповідь: Якщо після застосування оновлень постачальника дистрибутива Linux не вдається виконати помилку, скористайтеся одним із наступних варіантів відновлення:
- Завантажтеся на аварійний DVD і спробуйте перевстановити попередню версію shim, grub2 і kernel.
- Скиньте базу даних BIOS dbx до заводського значення за замовчуванням і видаліть усі застосовані оновлення dbx (від постачальника ОС або іншим способом), виконавши наступну процедуру:
1. Увійдіть у налаштування BIOS (F2)
2. Виберіть "Безпека системи"
3. Встановіть для параметра "Політика безпечного завантаження" значення "Спеціальне"
4. Виберіть "Налаштування користувацької політики безпечного завантаження"
5. Виберіть "Заборонена база даних підписів (dbx)"
6. Виберіть "Відновити базу даних заборонених підписів за замовчуванням" -> "Так" -> "ОК"
7. Встановіть для параметра "Політика безпечного завантаження" значення "Стандартний"
8. Збереження та вихід
2. Виберіть "Безпека системи"
3. Встановіть для параметра "Політика безпечного завантаження" значення "Спеціальне"
4. Виберіть "Налаштування користувацької політики безпечного завантаження"
5. Виберіть "Заборонена база даних підписів (dbx)"
6. Виберіть "Відновити базу даних заборонених підписів за замовчуванням" -> "Так" -> "ОК"
7. Встановіть для параметра "Політика безпечного завантаження" значення "Стандартний"
8. Збереження та вихід
Попередження: Як тільки ваша база даних dbx буде скинута до заводських налаштувань за замовчуванням, ваша система більше не виправлятиметься і вразлива до цих та будь-яких інших вразливостей, усунених у пізніших оновленнях.
П: Я налаштував свій сервер Dell таким чином, щоб він не використовував публічний сертифікат CA UEFI з бази даних авторизованих підписів Secure Boot Authorized Signature Database (db). Чи мій сервер Dell все ще вразливий до атак GRUB2?
Відповідь: Ні, як тільки ви це зробите, ви впровадите функцію UEFI Secure Boot Customization, і ваша система більше не буде вразливою до відомих на даний момент вразливостей (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE ve-2021-20233 та CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Як переглянути вміст у базі даних авторизованих підписів (db) мого сервера?
Відповідь: Будь ласка, ознайомтеся з цим документом тут. Ви можете зробити це через RACADM, WS-MAN, WINRM, Redfish і BIOS F2 Setup, в залежності від того, як ви налаштували контроль доступу.
Додаткова література:
Для отримання додаткової інформації про вразливості GRUB2 зверніться до серверів Dell EMC PowerEdge: Додаткова інформація щодо вразливості GRUB2 – "BootHole"
Legal Disclaimer
Affected Products
PowerEdge, Operating SystemsProducts
Servers, Product Security InformationArticle Properties
Article Number: 000184338
Article Type: Security KB
Last Modified: 30 Mar 2021
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.