Dell EMC PowerEdge 伺服器:關於 GRUB2 漏洞「BootHole」的其他資訊
摘要: GRUB (Grand Unified Bootloader) 中披露的一組漏洞 (稱為「BootHole」) 可讓安全開機略過。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
安全性文章類型
Security KB
CVE 識別碼
N/A
問題摘要
受影響的平台:
已啟用 UEFI 安全開機的 Dell EMC PowerEdge 伺服器
詳細資料
如 Dell 安全性通知所述,Dell 對 Grub2 漏洞的回應可能允許略過安全開機,在 GRUB (Grand Unified Bootloader) 中披露的漏洞群組稱為「BootHole」,可允許略過安全開機。
13G 及更新的 PowerEdge 伺服器若使用同樣支援此功能的作業系統 (OS),則支援安全開機功能。您可以在這裡檢視 PowerEdge 作業系統支援矩陣清單。
Windows:
Windows 作業系統會受到影響,因為擁有平台實體存取權或作業系統管理員權限的攻擊者可能會載入易受攻擊的 GRUB UEFI 二進位檔。
在 PowerEdge 伺服器上執行 Windows 的客戶應參閱Microsoft Microsoft指南 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
Linux:
若要確認系統的安全開機狀態,請使用下列作業系統命令:
UEFI 開機已停用;安全開機已停用:
# mokutil --sb-state
此系統不支援 EFI 變數
UEFI 開機已啟用;安全開機已停用:
# mokutil --sb-state
已停用安全開機
安全開機已啟用:
# mokutil --sb-state
已啟用安全開機
建議
Dell EMC PowerEdge 伺服器支援的 Linux 發行版本 (Red Hat Enterprise Linux、SuSE Enterprise Linux 和 Ubuntu) 已發佈更新套件,其中包含上述 CVE 的補救措施。
我們鼓勵您遵循 Linux 分發供應商發佈的建議,以適當的順序將受影響的包更新到 Linux 分發供應商提供的最新版本。
如果安全開機在套用 Linux 分發廠商的更新後失敗,請使用下列其中一個選項進行復原:
- 開機至救援 DVD,然後嘗試重新安裝舊版的 shim、grub2 和核心。
- 使用下列程序將 BIOS dbx 資料庫重設為原廠預設值,並移除所有 dbx 套用的更新 (不論是從作業系統廠商或其他方式)。
- 進入 BIOS 設定 (F2)
- 選取「System Security」
- 將「Secure Boot Policy」設為「Custom」
- 選取「Secure Boot Custom Policy Settings」
- 選取「禁止簽章資料庫 (dbx)」
- 選取「還原預設的禁止簽章資料庫」-> 「是」-> 「確定」
- 將「Secure Boot Policy」設為「Standard」
- 儲存並結束
警告:將 dbx 資料庫重置為出廠預設值后,您的系統將不再打補丁,並且容易受到這些漏洞以及任何其他漏洞的影響,這些漏洞將在以後的更新中修復。
相關的 Linux 經銷廠商諮詢
法律免責聲明
受影響的產品
Datacenter Scalable Solutions, PowerEdge, Microsoft Windows 2008 Server R2, SUSE Linux Enterprise Server 11, SUSE Linux Enterprise Server 12, Red Hat Enterprise Linux Version 6, Red Hat Enterprise Linux Version 7, Red Hat Enterprise Linux Version 8
, SUSE Linux Enterprise Server 15
...
文章屬性
文章編號: 000177294
文章類型: Security KB
上次修改時間: 21 2月 2021
版本: 7
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。