Serwery PowerEdge Dell: Dodatkowe informacje dotyczące ujawnienia luki w zabezpieczeniach Marzec 2021 r. (GRUB)
Podsumowanie: Luki w zabezpieczeniach GRUB (Grand Unified Bootloader) mogą pozwolić na obejście bezpiecznego rozruchu.
Ten artykuł dotyczy
Ten artykuł nie dotyczy
Ten artykuł nie jest powiązany z żadnym konkretnym produktem.
Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Typ artykułu o zabezpieczeniach
Security KB
Identyfikator CVE
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
Podsumowanie problemu
Dotyczy produktów:
Serwery Dell PowerEdge i wykorzystywane platformy
Szczegóły
Numer referencyjny:
Porady dostawcy systemu operacyjnego można znaleźć w następujących uwagach dotyczących zabezpieczeń firmy Dell. Zapoznaj się z artykułem bazy wiedzy 183699: DSN-2021-002 — reakcja firmy Dell na ujawnienie luki w zabezpieczeniach Grub2 z 2 marca 2021 r.
Zalecenia
Najczęściej zadawane pytania:
Pytanie: Których platform dotyczy problem?
ZA: Problem dotyczy serwerów Dell PowerEdge i używanych platform z włączoną funkcją UEFI Secure Boot. Firma Dell zaleca klientom zapoznanie się z poradnikami dostawcy systemów operacyjnych w celu uzyskania dalszych informacji, w tym odpowiedniej identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i zapobiegać nieautoryzowanemu fizycznemu dostępowi do urządzeń. Klient może również podjąć następujące środki w celu dalszej ochrony przed atakami fizycznymi.
ZA: Tak. Problem dotyczy systemów operacyjnych Windows. Złośliwy podmiot, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może załadować podatny na ataki plik binarny GRUB UEFI i złośliwe oprogramowanie w czasie rozruchu. Patrz: ADV200011 - Przewodnik po aktualizacjach zabezpieczeń - Microsoft - Wskazówki firmy Microsoft dotyczące rozwiązywania problemu z obejściem funkcji zabezpieczeń w GRUB
Pytanie: Używam systemu operacyjnego VMWare ESXi. Czy mnie to dotyczy?
ZA. Patrz: Odpowiedź VMware na lukę
w zabezpieczeniach GRUB2Pytanie: Co należy zrobić, aby usunąć tę lukę?
ZA: Poprawka GRUB - W ramach porad dostawców systemów operacyjnych Linux oczekuje się, że wprowadzą oni zaktualizowane pliki binarne GRUB lub, w niektórych przypadkach, również aktualizacje jądra. Zachęcamy do przestrzegania opublikowanych zaleceń dostawców dystrybucji systemu Linux w celu zaktualizowania pakietów, których dotyczy problem, we właściwej kolejności, do najnowszych wersji dostarczanych przez dostawcę dystrybucji systemu Linux.
Pytanie: Używam Linuksa. Jak sprawdzić, czy w systemie jest włączony tryb Secure Boot?
ZA: Aby sprawdzić stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:
Rozruch UEFI jest wyłączony; Bezpieczny rozruch jest wyłączony:
Rozruch UEFI jest włączony; Bezpieczny rozruch jest wyłączony:
Funkcja Secure Boot jest włączona:
Pytanie: Poprawki zostały zainstalowane zgodnie z poradnikami dystrybucji systemu Linux, ale mój system już się nie uruchamia.
ZA: Jeśli bezpieczny rozruch nie powiedzie się po zastosowaniu aktualizacji dostawcy dystrybucji Linuksa, użyj jednej z następujących opcji, aby odzyskać:
Ostrzeżenie: Po zresetowaniu dbx bazy danych do domyślnych ustawień fabrycznych system nie jest już poprawiony i jest podatny na te i wszelkie inne luki w zabezpieczeniach, które zostały naprawione w nowszych aktualizacjach.
Pytanie: Serwer Dell został skonfigurowany w taki sposób, aby nie używał publicznego certyfikatu urzędu certyfikacji UEFI w bazie danych podpisów autoryzowanych (db) bezpiecznego rozruchu. Czy mój serwer Dell jest nadal podatny na ataki GRUB2?
ZA: Nie, po wykonaniu tej czynności zostanie zaimplementowana funkcja dostosowywania UEFI Secure Boot, a system nie będzie już podatny na znane luki w zabezpieczeniach (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Jak sprawdzić, co znajduje się w bazie danych podpisów autoryzowanego rozruchu (db) bezpiecznego rozruchu na serwerze?
ZA: Zapoznaj się z tym dokumentem tutaj. W zależności od tego, jak skonfigurowano kontrolę dostępu, można to zrobić za pomocą ustawień RACADM, WS-MAN, WINRM, Redfish i F2 systemu BIOS.
Dodatkowe źródła:
Aby uzyskać dodatkowe informacje na temat luk w zabezpieczeniach GRUB2, zapoznaj się z artykułem Serwery Dell EMC PowerEdge: Dodatkowe informacje dotyczące luki w zabezpieczeniach GRUB2 — "BootHole"
Pytanie: Których platform dotyczy problem?
ZA: Problem dotyczy serwerów Dell PowerEdge i używanych platform z włączoną funkcją UEFI Secure Boot. Firma Dell zaleca klientom zapoznanie się z poradnikami dostawcy systemów operacyjnych w celu uzyskania dalszych informacji, w tym odpowiedniej identyfikacji i dodatkowych środków zaradczych.
Klient powinien przestrzegać najlepszych praktyk w zakresie bezpieczeństwa i zapobiegać nieautoryzowanemu fizycznemu dostępowi do urządzeń. Klient może również podjąć następujące środki w celu dalszej ochrony przed atakami fizycznymi.
- Umożliwia ustawienie hasła administratora systemu BIOS, aby zapobiec zmianom konfiguracji systemu BIOS, np. urządzenia rozruchowego i trybu bezpiecznego rozruchu.
- Skonfiguruj ustawienia rozruchu, aby zezwalać na rozruch tylko z wewnętrznego urządzenia rozruchowego.
ZA: Tak. Problem dotyczy systemów operacyjnych Windows. Złośliwy podmiot, który ma fizyczny dostęp do platformy lub uprawnienia administratora systemu operacyjnego, może załadować podatny na ataki plik binarny GRUB UEFI i złośliwe oprogramowanie w czasie rozruchu. Patrz: ADV200011 - Przewodnik po aktualizacjach zabezpieczeń - Microsoft - Wskazówki firmy Microsoft dotyczące rozwiązywania problemu z obejściem funkcji zabezpieczeń w GRUB
Pytanie: Używam systemu operacyjnego VMWare ESXi. Czy mnie to dotyczy?
ZA. Patrz: Odpowiedź VMware na lukę
w zabezpieczeniach GRUB2Pytanie: Co należy zrobić, aby usunąć tę lukę?
ZA: Poprawka GRUB - W ramach porad dostawców systemów operacyjnych Linux oczekuje się, że wprowadzą oni zaktualizowane pliki binarne GRUB lub, w niektórych przypadkach, również aktualizacje jądra. Zachęcamy do przestrzegania opublikowanych zaleceń dostawców dystrybucji systemu Linux w celu zaktualizowania pakietów, których dotyczy problem, we właściwej kolejności, do najnowszych wersji dostarczanych przez dostawcę dystrybucji systemu Linux.
Pytanie: Używam Linuksa. Jak sprawdzić, czy w systemie jest włączony tryb Secure Boot?
ZA: Aby sprawdzić stan bezpiecznego rozruchu systemu, użyj następującego polecenia systemu operacyjnego:
Rozruch UEFI jest wyłączony; Bezpieczny rozruch jest wyłączony:
# mokutil --sb-state
Zmienne EFI nie są obsługiwane w tym systemie
Zmienne EFI nie są obsługiwane w tym systemie
Rozruch UEFI jest włączony; Bezpieczny rozruch jest wyłączony:
# mokutil --sb-state
SecureBoot wyłączony
SecureBoot wyłączony
Funkcja Secure Boot jest włączona:
# mokutil --sb-state
SecureBoot włączony
SecureBoot włączony
Pytanie: Poprawki zostały zainstalowane zgodnie z poradnikami dystrybucji systemu Linux, ale mój system już się nie uruchamia.
ZA: Jeśli bezpieczny rozruch nie powiedzie się po zastosowaniu aktualizacji dostawcy dystrybucji Linuksa, użyj jednej z następujących opcji, aby odzyskać:
- Uruchom dysk ratunkowy z płyty DVD i spróbuj ponownie zainstalować poprzednią wersję narzędzia shim, grub2 i jądra.
- Zresetuj bazę danych dbx systemu BIOS do domyślnych wartości fabrycznych i usuń wszystkie zastosowane aktualizacje dbx (od dostawcy systemu operacyjnego lub w inny sposób), postępując zgodnie z następującą procedurą:
1. Przejdź do konfiguracji systemu BIOS (F2)
2. Wybierz opcję "Zabezpieczenia systemu"
3. Ustaw "Secure Boot Policy" na "Custom"
4. Wybierz opcję "Secure Boot Custom Policy Settings"
5. Wybierz "Forbidden Signature Database (dbx)"
6. Wybierz opcję "Przywróć domyślną bazę zabronionych sygnatur" - "Tak" ->> "OK"
7. Ustaw "Secure Boot Policy" na "Standard"
8. Zapisz i zamknij
2. Wybierz opcję "Zabezpieczenia systemu"
3. Ustaw "Secure Boot Policy" na "Custom"
4. Wybierz opcję "Secure Boot Custom Policy Settings"
5. Wybierz "Forbidden Signature Database (dbx)"
6. Wybierz opcję "Przywróć domyślną bazę zabronionych sygnatur" - "Tak" ->> "OK"
7. Ustaw "Secure Boot Policy" na "Standard"
8. Zapisz i zamknij
Ostrzeżenie: Po zresetowaniu dbx bazy danych do domyślnych ustawień fabrycznych system nie jest już poprawiony i jest podatny na te i wszelkie inne luki w zabezpieczeniach, które zostały naprawione w nowszych aktualizacjach.
Pytanie: Serwer Dell został skonfigurowany w taki sposób, aby nie używał publicznego certyfikatu urzędu certyfikacji UEFI w bazie danych podpisów autoryzowanych (db) bezpiecznego rozruchu. Czy mój serwer Dell jest nadal podatny na ataki GRUB2?
ZA: Nie, po wykonaniu tej czynności zostanie zaimplementowana funkcja dostosowywania UEFI Secure Boot, a system nie będzie już podatny na znane luki w zabezpieczeniach (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE-2021-20233 i CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )
Q: Jak sprawdzić, co znajduje się w bazie danych podpisów autoryzowanego rozruchu (db) bezpiecznego rozruchu na serwerze?
ZA: Zapoznaj się z tym dokumentem tutaj. W zależności od tego, jak skonfigurowano kontrolę dostępu, można to zrobić za pomocą ustawień RACADM, WS-MAN, WINRM, Redfish i F2 systemu BIOS.
Dodatkowe źródła:
Aby uzyskać dodatkowe informacje na temat luk w zabezpieczeniach GRUB2, zapoznaj się z artykułem Serwery Dell EMC PowerEdge: Dodatkowe informacje dotyczące luki w zabezpieczeniach GRUB2 — "BootHole"
Zastrzeżenie prawne
Produkty, których dotyczy problem
PowerEdge, Operating SystemsProdukty
Servers, Product Security InformationWłaściwości artykułu
Numer artykułu: 000184338
Typ artykułu: Security KB
Ostatnia modyfikacja: 08 maj 2026
Wersja: 3
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.