Dell PowerEdge 伺服器:關於 2021 年 3 月 (GRUB) 漏洞披露的其他資訊
摘要: GRUB (Grand Unified Bootloader) 中的漏洞可能允許略過安全開機。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
安全性文章類型
Security KB
CVE 識別碼
CVE-2020-14372 CVE-2020-25632 CVE-2020-25647 CVE-2020-27749 CVE-2020-27779
CVE-2021-20225 CVE-2021-20233
問題摘要
受影響的產品:
Dell PowerEdge 伺服器和利用的平台
詳細資料
參考資料:
作業系統供應商的諮詢請參閱下列 Dell 安全性通知。請參閱 KB 文章 183699: DSN-2021-002 Dell 對 2021 年 3 月 2 日 Grub2 漏洞披露的回應
建議
常見問題:
問:哪些平台會受到影響?
答:已啟用 UEFI 安全開機的 Dell PowerEdge 伺服器和利用的平台都會受到影響。Dell 建議客戶檢閱其作業系統供應商的公告,以取得進一步資訊,包括適當的識別和其他緩解措施。
客戶應遵守安全性最佳實務,並防止未經授權實體存取裝置。客戶也可以採取下列措施,進一步保護自己免於實體攻擊。
答:是。Windows 作業系統受到影響。擁有平台實體存取權或作業系統管理員權限的惡意源起方可能會載入易受攻擊的 GRUB UEFI 二進位和開機時惡意軟體。參考資料: ADV200011 - 安全性更新指南 - Microsoft - 解決 GRUB
中安全性功能略過問題的Microsoft指南問:我使用 VMWare ESXi 作業系統。我是否受到影響?
一.參考資料:VMware 對 GRUB2 安全性漏洞
的回應問:我需要做些什麼來解決這個漏洞?
答:GRUB 修補程式 - 作為 Linux 作業系統廠商公告的一部分,他們應推出更新的 GRUB 二進位檔,或在某些情況下推出核心更新。我們鼓勵您遵循 Linux 分發供應商發佈的建議,以適當的順序將受影響的包更新到 Linux 分發供應商提供的最新版本。
問:我正在運行Linux。如何知道我的系統是否已啟用安全開機?
答:若要確認系統的安全開機狀態,請使用下列作業系統命令:
UEFI 開機已停用;安全開機已停用:
UEFI 開機已啟用;安全開機已停用:
安全開機已啟用:
問:我按照Linux分發公告安裝了補丁,但我的系統不再啟動。
一個:如果安全開機在套用 Linux 分發廠商的更新後失敗,請使用下列其中一個選項進行復原:
警告:將 dbx 資料庫重置為出廠預設值后,系統將不再打補丁,並且容易受到這些漏洞以及任何其他漏洞的影響,這些漏洞將在以後的更新中得到修復。
問:我已設定好 Dell 伺服器,使其不會使用安全開機授權簽章資料庫 (db) 中的公用 UEFI CA 憑證。我的 Dell 伺服器是否仍然容易受到 GRUB2 攻擊?
答:否,完成此作業後,您即已實作 UEFI 安全開機自訂功能,且您的系統將不再受到目前已知漏洞 (CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE) 的影響 -2021-20233 和 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )
Q:如何檢視伺服器的安全開機授權簽章資料庫 (db) 中的內容?
答:請 在此處閱讀此文件。您可以透過 RACADM、WS-MAN、WINRM、Redfish 和 BIOS F2 設定執行此動作,視您設定存取控制的方式而定。
其他參考資料:
如需有關 GRUB2 漏洞的其他資訊,請參閱 Dell EMC PowerEdge 伺服器:關於 GRUB2 漏洞「BootHole」的其他資訊
問:哪些平台會受到影響?
答:已啟用 UEFI 安全開機的 Dell PowerEdge 伺服器和利用的平台都會受到影響。Dell 建議客戶檢閱其作業系統供應商的公告,以取得進一步資訊,包括適當的識別和其他緩解措施。
客戶應遵守安全性最佳實務,並防止未經授權實體存取裝置。客戶也可以採取下列措施,進一步保護自己免於實體攻擊。
- 設定 BIOS 管理員密碼,以防止 BIOS 設定組態發生變更,例如開機裝置和安全開機模式。
- 設定開機設定,以僅允許開機至內部開機裝置。
答:是。Windows 作業系統受到影響。擁有平台實體存取權或作業系統管理員權限的惡意源起方可能會載入易受攻擊的 GRUB UEFI 二進位和開機時惡意軟體。參考資料: ADV200011 - 安全性更新指南 - Microsoft - 解決 GRUB
中安全性功能略過問題的Microsoft指南問:我使用 VMWare ESXi 作業系統。我是否受到影響?
一.參考資料:VMware 對 GRUB2 安全性漏洞
的回應問:我需要做些什麼來解決這個漏洞?
答:GRUB 修補程式 - 作為 Linux 作業系統廠商公告的一部分,他們應推出更新的 GRUB 二進位檔,或在某些情況下推出核心更新。我們鼓勵您遵循 Linux 分發供應商發佈的建議,以適當的順序將受影響的包更新到 Linux 分發供應商提供的最新版本。
問:我正在運行Linux。如何知道我的系統是否已啟用安全開機?
答:若要確認系統的安全開機狀態,請使用下列作業系統命令:
UEFI 開機已停用;安全開機已停用:
# mokutil --sb-state
此系統不支援 EFI 變數
此系統不支援 EFI 變數
UEFI 開機已啟用;安全開機已停用:
# mokutil --sb-state
SecureBoot disabled
SecureBoot disabled
安全開機已啟用:
# mokutil --sb-state
SecureBoot enabled
SecureBoot enabled
問:我按照Linux分發公告安裝了補丁,但我的系統不再啟動。
一個:如果安全開機在套用 Linux 分發廠商的更新後失敗,請使用下列其中一個選項進行復原:
- 開機至救援 DVD,然後嘗試重新安裝舊版的 shim、grub2 和核心。
- 使用下列程序將 BIOS dbx 資料庫重設為原廠預設值,並移除所有 dbx 套用的更新 (不論是從作業系統廠商或其他方式)。
1. 進入 BIOS 設定 (F2)
2. 選取「系統安全性」
3. 將「Secure Boot 原則」設為「自訂」
4. 選取「安全開機自訂原則設定」
5. 選取「禁止簽章資料庫 (dbx)」
6. 選取「還原預設的禁止簽章資料庫」-> 「是」-> 「確定」
7. 將「Secure Boot Policy」設為「Standard」
8. 儲存並結束
2. 選取「系統安全性」
3. 將「Secure Boot 原則」設為「自訂」
4. 選取「安全開機自訂原則設定」
5. 選取「禁止簽章資料庫 (dbx)」
6. 選取「還原預設的禁止簽章資料庫」-> 「是」-> 「確定」
7. 將「Secure Boot Policy」設為「Standard」
8. 儲存並結束
警告:將 dbx 資料庫重置為出廠預設值后,系統將不再打補丁,並且容易受到這些漏洞以及任何其他漏洞的影響,這些漏洞將在以後的更新中得到修復。
問:我已設定好 Dell 伺服器,使其不會使用安全開機授權簽章資料庫 (db) 中的公用 UEFI CA 憑證。我的 Dell 伺服器是否仍然容易受到 GRUB2 攻擊?
答:否,完成此作業後,您即已實作 UEFI 安全開機自訂功能,且您的系統將不再受到目前已知漏洞 (CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27749、CVE-2020-27779、CVE-2021-20225、CVE) 的影響 -2021-20233 和 CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707 )
Q:如何檢視伺服器的安全開機授權簽章資料庫 (db) 中的內容?
答:請 在此處閱讀此文件。您可以透過 RACADM、WS-MAN、WINRM、Redfish 和 BIOS F2 設定執行此動作,視您設定存取控制的方式而定。
其他參考資料:
如需有關 GRUB2 漏洞的其他資訊,請參閱 Dell EMC PowerEdge 伺服器:關於 GRUB2 漏洞「BootHole」的其他資訊
法律免責聲明
受影響的產品
PowerEdge, Operating Systems產品
Servers, Product Security Information文章屬性
文章編號: 000184338
文章類型: Security KB
上次修改時間: 30 3月 2021
版本: 2
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。