Dell PowerEdge 服务器:有关 2021 年 3 月 (GRUB) 漏洞披露的其他信息
摘要: GRUB (Grand Unified Bootloader) 中的漏洞可能允许绕过安全启动。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
问题摘要
受影响的产品:
Dell PowerEdge 服务器和利用的平台
详情
参考资料:
可在以下戴尔安全通知中找到作系统提供商的公告。请参阅知识库文章 183699: DSN-2021-002 戴尔对 2021 年 3 月 2 日 Grub2 漏洞披露的回应
建议
常见问题:
问:哪些平台会受到影响?
答:启用了 UEFI 安全启动的 Dell PowerEdge 服务器和利用的平台会受到影响。戴尔建议客户查看其作系统提供商的建议,以获取更多信息,包括适当的识别和其他缓解措施。
客户应遵循安全最佳实践,并防止未经授权对设备进行物理访问。客户还可以采取以下措施来进一步保护自己免受物理攻击。
答:是的。Windows作系统受到影响。对平台具有物理访问权限或作系统管理员权限的恶意行为者可能会加载易受攻击的 GRUB UEFI 二进制文件和启动时间恶意软件。请参阅: ADV200011 — 安全更新指南 - Microsoft — Microsoft 用于解决 GRUB
中的安全功能绕过问题的指南问:我使用的是 VMWare ESXi作系统。我是否受到影响?
答:请参阅:VMware 对 GRUB2 安全漏洞
的回应问:我需要做些什么来解决这个漏洞?
答:GRUB 修补程序 - 作为 Linux作系统供应商公告的一部分,他们应该推出更新的 GRUB 二进制文件,或者在某些情况下推出内核更新。我们建议您遵循 Linux 分发供应商发布的建议,以正确的顺序将受影响的软件包更新到 Linux 分发供应商提供的最新版本。
问:我在运行 Linux。如何知道我的系统上是否启用了安全启动?
答:要验证系统的安全启动状态,请使用以下作系统命令:
UEFI 引导已禁用;安全启动已禁用:
UEFI 引导已启用;安全启动已禁用:
安全启动已启用:
问:我按照 Linux 分发公告安装了修补程序,但我的系统不再启动。
一个:如果应用 Linux 分发供应商的更新后安全启动失败,请使用以下选项之一进行恢复:
警告:将 dbx 数据库重置为出厂默认值后,您的系统将不再修补,并且容易受到这些漏洞以及在以后的更新中修复的任何其他漏洞的影响。
问:我已配置我的戴尔服务器,使其不使用安全启动授权签名数据库 (db) 中的公共 UEFI CA 证书。我的戴尔服务器是否仍然容易受到 GRUB2 攻击?
答:否,完成此作后,您将实现了 UEFI 安全启动自定义功能,并且您的系统不再容易受到当前已知漏洞(CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE-2021-20233 和 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )
问:如何查看服务器的安全启动授权签名数据库 (db) 中的内容?
答:请 在此处查看此文档。您可以通过 RACADM、WS-MAN、WINRM、Redfish 和 BIOS F2 设置来执行此作,具体取决于您配置访问控制的方式。
其他参考资料:
有关 GRUB2 漏洞的更多信息,请参阅 Dell EMC PowerEdge 服务器:有关 GRUB2 漏洞 —“BootHole”的其他信息
问:哪些平台会受到影响?
答:启用了 UEFI 安全启动的 Dell PowerEdge 服务器和利用的平台会受到影响。戴尔建议客户查看其作系统提供商的建议,以获取更多信息,包括适当的识别和其他缓解措施。
客户应遵循安全最佳实践,并防止未经授权对设备进行物理访问。客户还可以采取以下措施来进一步保护自己免受物理攻击。
- 设置 BIOS 管理员密码以防止更改 BIOS 设置配置,例如启动设备和安全启动模式。
- 配置引导设置以仅允许引导至内部引导设备。
答:是的。Windows作系统受到影响。对平台具有物理访问权限或作系统管理员权限的恶意行为者可能会加载易受攻击的 GRUB UEFI 二进制文件和启动时间恶意软件。请参阅: ADV200011 — 安全更新指南 - Microsoft — Microsoft 用于解决 GRUB
中的安全功能绕过问题的指南问:我使用的是 VMWare ESXi作系统。我是否受到影响?
答:请参阅:VMware 对 GRUB2 安全漏洞
的回应问:我需要做些什么来解决这个漏洞?
答:GRUB 修补程序 - 作为 Linux作系统供应商公告的一部分,他们应该推出更新的 GRUB 二进制文件,或者在某些情况下推出内核更新。我们建议您遵循 Linux 分发供应商发布的建议,以正确的顺序将受影响的软件包更新到 Linux 分发供应商提供的最新版本。
问:我在运行 Linux。如何知道我的系统上是否启用了安全启动?
答:要验证系统的安全启动状态,请使用以下作系统命令:
UEFI 引导已禁用;安全启动已禁用:
# mokutil --sb-state
此系统不支持 EFI 变量
此系统不支持 EFI 变量
UEFI 引导已启用;安全启动已禁用:
# mokutil --sb-state
SecureBoot disabled
SecureBoot disabled
安全启动已启用:
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
问:我按照 Linux 分发公告安装了修补程序,但我的系统不再启动。
一个:如果应用 Linux 分发供应商的更新后安全启动失败,请使用以下选项之一进行恢复:
- 引导至救援 DVD,并尝试重新安装以前版本的 shim、grub2 和内核。
- 使用以下步骤将 BIOS dbx 数据库重置为出厂默认值,并删除任何 dbx 应用的更新(来自作系统供应商或其他方式):
1. 进入 BIOS 设置 (F2)
2。 选择“系统安全”
3. 将“Secure Boot Policy”设置为“Custom”
4. 选择“Secure Boot Custom Policy Settings”
5. 选择“禁止的签名数据库 (dbx)”
6. 选择“Restore Default Forbidden Signature Database”-> “Yes”-> “OK”
7. 将“Secure Boot Policy”设置为“Standard”
8. 保存并退出
2。 选择“系统安全”
3. 将“Secure Boot Policy”设置为“Custom”
4. 选择“Secure Boot Custom Policy Settings”
5. 选择“禁止的签名数据库 (dbx)”
6. 选择“Restore Default Forbidden Signature Database”-> “Yes”-> “OK”
7. 将“Secure Boot Policy”设置为“Standard”
8. 保存并退出
警告:将 dbx 数据库重置为出厂默认值后,您的系统将不再修补,并且容易受到这些漏洞以及在以后的更新中修复的任何其他漏洞的影响。
问:我已配置我的戴尔服务器,使其不使用安全启动授权签名数据库 (db) 中的公共 UEFI CA 证书。我的戴尔服务器是否仍然容易受到 GRUB2 攻击?
答:否,完成此作后,您将实现了 UEFI 安全启动自定义功能,并且您的系统不再容易受到当前已知漏洞(CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE-2021-20233 和 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )
问:如何查看服务器的安全启动授权签名数据库 (db) 中的内容?
答:请 在此处查看此文档。您可以通过 RACADM、WS-MAN、WINRM、Redfish 和 BIOS F2 设置来执行此作,具体取决于您配置访问控制的方式。
其他参考资料:
有关 GRUB2 漏洞的更多信息,请参阅 Dell EMC PowerEdge 服务器:有关 GRUB2 漏洞 —“BootHole”的其他信息
法律免责声明
受影响的产品
PowerEdge, Operating Systems产品
Servers, Product Security Information文章属性
文章编号: 000184338
文章类型: Security KB
上次修改时间: 30 3月 2021
版本: 2
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。