CVE-tunnus: CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
Dell on tietoinen hiljattain ilmoitetusta suorittimen Speculative Execution -haavoittuvuuksien luokasta (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646), joista käytetään yhteisnimitystä L1TF (L1 Terminal Fault) ja jotka koskevat Intelin mikroprosessoreita. Lisätietoja näistä haavoittuvuuksista on Intelin julkaisemassa tietoturvatiedotteessa.
Dell tutkii näiden haavoittuvuuksien vaikutusta tuotteisiimme, ja pyrimme lieventämään niitä yhdessä Intelin ja muiden alan kumppanien kanssa. Lieventämistoimet vaihtelevat tuotteen mukaan, ja ne saattavat sisältää päivityksiä laiteohjelmistoihin, käyttöjärjestelmiin ja hypervisorin osiin.
Dell EMC suosittelee, että asiakkaat suojautuvat näiden haavoittuvuuksien mahdolliselta väärinkäytöltä tuleviin päivityksiin saakka noudattamalla yleisiä haittaohjelmilta suojautumiseen liittyviä turvallisuusohjeita. Suosittelemme esimerkiksi ohjelmistopäivitysten ripeää asentamista, tuntemattomien hyperlinkkien ja sivustojen välttämistä, tiedostojen ja sovellusten lataamista ainoastaan tunnetuista lähteistä sekä ajantasaisten virustorjuntaratkaisujen ja kattavien suojausratkaisujen käyttämistä.
Dell EMC:n PowerEdge-palvelimet / XC-sarjan hyperkonvergoidut laitteet
Edellä mainittujen haavoittuvuuksien poistamiseksi on otettava käyttöön kaksi keskeistä osaa:
1. CVE-2018-3639- ja CVE-2018-3640-tiedotteita varten on julkaistu aiemmin BIOS, joka sisältää tarvittavan mikrokoodin. Tarkista järjestelmäsi kyseisistä tuotetaulukoista.
2. Käyttöjärjestelmän ja hypervisorin päivitykset
Jos tuotteesi päivitetty BIOS on luettelossa, Dell EMC suosittelee, että päivität siihen ja otat käyttöön asianmukaiset käyttöjärjestelmän korjaukset, jotta voit suojautua mainituilta haavoittuvuuksilta.
Dell EMC:n tallennustuotteet (SC-sarja, PS-sarja ja PowerVault MD -sarja)
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.
Dell EMC:n verkkotuotteet
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.
Lisätietoja muista Dell-tuotteista on osoitteessa https://www.dell.com/support/article/sln318303.
|
Dellin tallennustuotevalikoima
|
Arvio
|
| EqualLogic PS -sarja | Ei sovellettavissa Ilmoitetut ongelmat eivät vaikuta tuotteen suorittimeen. Se on Broadcomin MIPS-suoritin, jossa ei ole Speculative Execution -ominaisuutta. |
| Dell EMC SC -sarja (Compellent) | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Tuote on suunniteltu siten, että käyttäjät eivät voi ladata ja suorittaa järjestelmässä mitään ulkoista ja/tai epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta uusia tietoturvariskejä tuotteelle. |
| Dell Storage MD3- ja DSMS MD3 -sarja | |
| Dell PowerVault -nauha-asemat ja -kirjastot | |
| Dell Storage FluidFS -sarja (sisältää: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. |
|
Dell Storage Virtual Appliance
|
Arvio
|
| Dell Storage Manager Virtual Appliance (DSM VA - Compellent) | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään. |
| Dellin VMWare-tallennuksen integrointityökalut (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Dellin tallennustuotevalikoima
|
Arvio
|
| Dell NX -tallennustuotteet | Ongelma vaikuttaa näihin. Tarkista BIOS-korjaustiedot asianmukaisista PowerEdge-palvelintiedoista. Tarkista käyttöjärjestelmätason korjausohjeet asianmukaisista käyttöjärjestelmän valmistajan suosituksista. |
| Dell DSMS -tallennustuotteet |
| Ympäristöt | Arvio |
| C-sarja - C1048P, C9010 | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. |
| M I/O -kerääjä | Ei sovellettavissa. Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen. |
| MXL | |
| FX2 | |
| N11xx, N15xx, N20xx, N30xx | |
| N2128PX, N3128PX | |
| Navasota | |
| S55, S60 | |
| SIOM | |
| S-sarja - vakio ja -ON | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. |
| Z-sarja - vakio ja ON |
| Ympäristöt | Arvio |
| PowerConnect-sarjan kytkimet | Ei sovellettavissa. Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen. |
| C9000-sarjan linjakortit | |
| Mellanox SB7800 -sarja, SX6000-sarja | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. |
| Ympäristön ohjelmistot | Arvio |
| VM ja Emulator | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään. |
| OS10.4.0 ja aiemmat Base ja Enterprise | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. |
| OS10.4.1 Base ja Enterprise | |
| OS9 (kaikki versiot) | Ei sovellettavissa. Käyttöjärjestelmä ei ole altis tälle hyökkäykselle. |
| Ympäristö | Arvio |
| W-sarja | Ei sovellettavissa. Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen. |
| Langattomat laitteet: | |
| W-Airwave | Ei uusia tietoturvariskejä. Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään. |
| W-ClearPass-laitteisto | |
| W-ClearPass-virtuaalilaitteet | |
| W-ClearPass 100 -ohjelmisto | Ei sovellettavissa. Ohjelmisto toimii virtuaaliympäristössä. Suosittelemme, että asiakkaat korjaavat virtuaalisen palvelinympäristön, jossa tuotetta käytetään. |