Серверы Dell PowerEdge. Дополнительная информация о раскрытии информации об уязвимости за март 2021 г. (GRUB)

Часто задаваемые вопросы        

Вопрос: Какие платформы затронуты?
Ответ: Затронуты серверы Dell PowerEdge и платформы, для которых включена безопасная загрузка UEFI. Dell рекомендует заказчикам ознакомиться с рекомендациями своего поставщика операционной системы для получения дополнительной информации, включая надлежащую идентификацию и дополнительные меры по смягчению последствий.
Заказчик должен соблюдать передовые практики обеспечения безопасности и предотвращать несанкционированный физический доступ к устройствам. Заказчик также может предпринять следующие меры для дополнительной защиты от физических атак.

1. Задайте пароль администратора BIOS, чтобы предотвратить изменения конфигурации настройки BIOS, например загрузочного устройства и режима безопасной загрузки.
2. Настройте параметры загрузки таким образом, чтобы разрешить загрузку только с внутреннего загрузочного устройства.

Вопрос: Я использую операционную систему Windows. Влияет ли это на меня?
Ответ: Да. Подвержены проблеме операционные системы Windows. Злоумышленник, обладающий физическим доступом к платформе или привилегиями администратора ОС, может загрузить уязвимый двоичный файл GRUB UEFI и вредоносное ПО во время загрузки. См.  ADV200011 - Руководство по обновлению системы безопасности - Microsoft - Руководство Microsoft по устранению обхода функций безопасности в GRUB

Вопрос: Я использую операционную систему VMWare ESXi. Влияет ли это на меня?
Ответ. См. Реакция VMware на уязвимость

безопасности GRUB2Вопрос: Что необходимо сделать для устранения этой уязвимости?
Ответ: Исправление GRUB — в рамках рекомендаций поставщики операционных систем Linux должны выпускать обновленные двоичные файлы GRUB или, в некоторых случаях, обновления ядра. Мы рекомендуем вам следовать опубликованным рекомендациям поставщиков дистрибутивов Linux и обновлять затронутые пакеты в надлежащем порядке до последних версий, предоставленных поставщиком дистрибутива Linux.

Вопрос: Я использую Linux. Как узнать, включена ли в моей системе безопасная загрузка?
Ответ: Чтобы проверить статус безопасной загрузки системы, используйте следующую команду ОС:     
Вопрос: Я установил исправления в соответствии с рекомендациями дистрибутива Linux, но моя система больше не загружается.
A: Если безопасная загрузка завершается сбоем после установки обновлений поставщика дистрибутива Linux, используйте один из следующих вариантов для восстановления:     

• Загрузите DVD-диск и попытайтесь переустановить предыдущую версию shim, grub2 и ядра.
• Сбросьте базу данных dbx BIOS до заводских настроек по умолчанию и удалите все примененные обновления dbx (от поставщика ОС или другими способами), выполнив следующие действия.

Вопрос: Сервер Dell настроен таким образом, чтобы он не использовал общедоступный сертификат UEFI CA в базе данных авторизованных подписей безопасной загрузки (db). По-прежнему ли мой сервер Dell подвержен атакам GRUB2?
Ответ: Нет, после этого будет реализована функция настройки безопасной загрузки UEFI, и ваша система больше не будет восприимчива к известным на данный момент уязвимостям (CVE-2020-14372, CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-20225, CVE. E-2021-20233 и CVE-2020-10713, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15705, CVE-2020-15706, CVE-2020-15707 )

Q: Как просмотреть данные в базе данных Secure Boot Authorized Signature Database (db) моего сервера?
Ответ: Ознакомиться с данным документом можно здесь. Это можно сделать с помощью RACADM, WS-MAN, WINRM, Redfish и программы настройки BIOS клавишей F2 в зависимости от того, как вы настроили контроль доступа. 


Дополнительные материалы     
Дополнительные сведения об уязвимостях GRUB2 см. в документе Серверы Dell EMC PowerEdge. Дополнительная информация об уязвимости GRUB2 — «BootHole»