Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Speculative Execution -sivukanavan haavoittuvuudet (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646): vaikutus Dell EMC:n PowerEdge-palvelimiin, tallennustuotteisiin (SC, PS ja PowerVault MD) ja verkkotuotteisiin

Summary: Dell EMC:n ohjeet palvelin-, tallennus- ja verkkotuotteiden sivukanavan haavoittuvuuksien (L1TF eli L1 Terminal Fault) korjaamiseksi. Katso tästä oppaasta tarkat tiedot ympäristöistä, joihin ongelma vaikuttaa, ja päivitysten asentamisesta. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

31.8.2018

CVE-tunnus: CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
Dell on tietoinen hiljattain ilmoitetusta suorittimen Speculative Execution -haavoittuvuuksien luokasta (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646), joista käytetään yhteisnimitystä L1TF (L1 Terminal Fault) ja jotka koskevat Intelin mikroprosessoreita. Lisätietoja näistä haavoittuvuuksista on Intelin julkaisemassa tietoturvatiedotteessa.

Dell tutkii näiden haavoittuvuuksien vaikutusta tuotteisiimme, ja pyrimme lieventämään niitä yhdessä Intelin ja muiden alan kumppanien kanssa. Lieventämistoimet vaihtelevat tuotteen mukaan, ja ne saattavat sisältää päivityksiä laiteohjelmistoihin, käyttöjärjestelmiin ja hypervisorin osiin.

Dell EMC suosittelee, että asiakkaat suojautuvat näiden haavoittuvuuksien mahdolliselta väärinkäytöltä tuleviin päivityksiin saakka noudattamalla yleisiä haittaohjelmilta suojautumiseen liittyviä turvallisuusohjeita. Suosittelemme esimerkiksi ohjelmistopäivitysten ripeää asentamista, tuntemattomien hyperlinkkien ja sivustojen välttämistä, tiedostojen ja sovellusten lataamista ainoastaan tunnetuista lähteistä sekä ajantasaisten virustorjuntaratkaisujen ja kattavien suojausratkaisujen käyttämistä.

Dell EMC:n PowerEdge-palvelimet / XC-sarjan hyperkonvergoidut laitteet

Edellä mainittujen haavoittuvuuksien poistamiseksi on otettava käyttöön kaksi keskeistä osaa:

1. CVE-2018-3639- ja CVE-2018-3640-tiedotteita varten on julkaistu aiemmin BIOS, joka sisältää tarvittavan mikrokoodin. Tarkista järjestelmäsi kyseisistä tuotetaulukoista.

2. Käyttöjärjestelmän ja hypervisorin päivitykset


Jos tuotteesi päivitetty BIOS on luettelossa, Dell EMC suosittelee, että päivität siihen ja otat käyttöön asianmukaiset käyttöjärjestelmän korjaukset, jotta voit suojautua mainituilta haavoittuvuuksilta.

Dell EMC:n tallennustuotteet (SC-sarja, PS-sarja ja PowerVault MD -sarja)
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.

Dell EMC:n verkkotuotteet
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.

Lisätietoja muista Dell-tuotteista on osoitteessa https://www.dell.com/support/article/sln318303.

 

BIOS-/laiteohjelmisto-/ohjainpäivitykset tallennus- (mukaan lukien palvelimen käyttämät tallennusympäristöt) ja verkkotuotteisiin


 
 
 
Dellin tallennustuotevalikoima
Arvio
EqualLogic PS -sarja Ei sovellettavissa
Ilmoitetut ongelmat eivät vaikuta tuotteen suorittimeen. Se on Broadcomin MIPS-suoritin, jossa ei ole Speculative Execution -ominaisuutta.
Dell EMC SC -sarja (Compellent) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Tuote on suunniteltu siten, että käyttäjät eivät voi ladata ja suorittaa järjestelmässä mitään ulkoista ja/tai epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta uusia tietoturvariskejä tuotteelle.
Dell Storage MD3- ja DSMS MD3 -sarja
Dell PowerVault -nauha-asemat ja -kirjastot
   
Dell Storage FluidFS -sarja (sisältää: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
 
 
 
Dell Storage Virtual Appliance
Arvio
Dell Storage Manager Virtual Appliance (DSM VA - Compellent) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
Dellin VMWare-tallennuksen integrointityökalut (Compellent)
Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic)
 
 
 
Dellin tallennustuotevalikoima
Arvio
Dell NX -tallennustuotteet Ongelma vaikuttaa näihin.
Tarkista BIOS-korjaustiedot asianmukaisista PowerEdge-palvelintiedoista. Tarkista käyttöjärjestelmätason korjausohjeet asianmukaisista käyttöjärjestelmän valmistajan suosituksista.
Dell DSMS -tallennustuotteet

Ympäristöt Arvio
C-sarja - C1048P, C9010 Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
M I/O -kerääjä Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
MXL
FX2
N11xx, N15xx, N20xx, N30xx
N2128PX, N3128PX
Navasota
S55, S60
SIOM
   
S-sarja - vakio ja -ON Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
Z-sarja - vakio ja ON
 
Verkko – kiinteän portin kytkimet
Ympäristöt Arvio
PowerConnect-sarjan kytkimet Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
C9000-sarjan linjakortit
   
Mellanox SB7800 -sarja, SX6000-sarja Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
Ympäristön ohjelmistot Arvio
VM ja Emulator Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
OS10.4.0 ja aiemmat Base ja Enterprise Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
OS10.4.1 Base ja Enterprise
   
OS9 (kaikki versiot) Ei sovellettavissa.
Käyttöjärjestelmä ei ole altis tälle hyökkäykselle.
Ympäristö Arvio
W-sarja Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
Langattomat laitteet:
W-Airwave Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
W-ClearPass-laitteisto
W-ClearPass-virtuaalilaitteet
   
W-ClearPass 100 -ohjelmisto Ei sovellettavissa.
Ohjelmisto toimii virtuaaliympäristössä. Suosittelemme, että asiakkaat korjaavat virtuaalisen palvelinympäristön, jossa tuotetta käytetään.


Ulkoiset viitteet

Cause

-

Resolution

-

Affected Products

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Article Properties
Article Number: 000137307
Article Type: Solution
Last Modified: 07 Oct 2021
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.