DSA-2019-089: Asesoría de seguridad de la plataforma de servidor Dell EMC para Intel-SA-00233
Summary: Los servidores Dell EMC requieren una actualización de seguridad para abordar las vulnerabilidades de Intel Microarchitectural Data Sampling. Para obtener información específica sobre las plataformas afectadas y los próximos pasos para aplicar las actualizaciones, consulte esta guía. ...
This article applies to
This article does not apply to
Symptoms
Identificador DSA: DSA-2019-089
Identificador CVE: Gravedad CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091:
Medio
Clasificación de gravedad: Puntuación base de CVSS v3: Consulte NVD (http://nvd.nist.gov/) para obtener puntajes individuales para cada producto afectado por
CVE:
Servidores Dell EMC (consulte la sección Resolución a continuación para obtener una lista completa de los productos afectados)
Resumen:
Los servidores Dell EMC requieren una actualización de seguridad para abordar las vulnerabilidades de Intel Microarchitectural Data Sampling.
Detalles:
Las actualizaciones estarán disponibles para abordar las siguientes vulnerabilidades de seguridad.
Intel-SA-00233: Vulnerabilidades de Intel Microarchitectural Data Sampling
Para obtener más información sobre cualquiera de las vulnerabilidades y exposiciones comunes (CVE) mencionadas aquí, consulte la base de datos nacional de vulnerabilidades (NVD) en http://nvd.nist.gov/home.cfm. Para buscar una CVE específica, utilice la utilidad de búsqueda de la base de datos en http://web.nvd.nist.gov/view/vuln/search.
Resolución:
La siguiente es una lista de los productos afectados y las fechas previstas de las versiones. Dell recomienda que todos los clientes actualicen lo antes posible.
Hay dos componentes esenciales que se deben aplicar para mitigar las vulnerabilidades mencionadas anteriormente:
Visite el sitio Controladores y descargas para obtener actualizaciones sobre los productos correspondientes. Tenga en cuenta que se vincula la siguiente lista de productos afectados por actualizaciones liberadas del BIOS. Para obtener más información, visite el artículo de la Base de conocimientos de Dell Actualizar un controlador o firmware Dell PowerEdge directamente desde el sistema operativo (Windows y Linux)y descargue la actualización para su computadora Dell.
Los clientes pueden utilizar una de las soluciones de notificación de Dell para recibir notificaciones y descargar actualizaciones de controladores, BIOS y firmware automáticamente una vez que estén disponibles.
Referencias adicionales:
Notas:
Nota: Las plataformas 14G con procesadores Cascade Lake no se ven afectadas por esta vulnerabilidad mds (Intel-SA-00233), ya que incorporan mitigaciones de canal lateral en el hardware.
El almacenamiento Dell EMC PowerVault ME4 no se ve afectado por esta vulnerabilidad de MDS (Intel-SA-00233).
Identificador CVE: Gravedad CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091:
Medio
Clasificación de gravedad: Puntuación base de CVSS v3: Consulte NVD (http://nvd.nist.gov/) para obtener puntajes individuales para cada producto afectado por
CVE:
Servidores Dell EMC (consulte la sección Resolución a continuación para obtener una lista completa de los productos afectados)
Resumen:
Los servidores Dell EMC requieren una actualización de seguridad para abordar las vulnerabilidades de Intel Microarchitectural Data Sampling.
Detalles:
Las actualizaciones estarán disponibles para abordar las siguientes vulnerabilidades de seguridad.
Intel-SA-00233: Vulnerabilidades de Intel Microarchitectural Data Sampling
- CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Para obtener más información sobre cualquiera de las vulnerabilidades y exposiciones comunes (CVE) mencionadas aquí, consulte la base de datos nacional de vulnerabilidades (NVD) en http://nvd.nist.gov/home.cfm. Para buscar una CVE específica, utilice la utilidad de búsqueda de la base de datos en http://web.nvd.nist.gov/view/vuln/search.
Resolución:
La siguiente es una lista de los productos afectados y las fechas previstas de las versiones. Dell recomienda que todos los clientes actualicen lo antes posible.
Hay dos componentes esenciales que se deben aplicar para mitigar las vulnerabilidades mencionadas anteriormente:
- Aplique la actualización del BIOS que se indica en la sección Servidor Dell EMC afectado que se encuentra a continuación.
- Aplique el parche de sistema operativo pertinente. Esto es necesario para mitigar las vulnerabilidades relacionadas con Intel-SA-00233.
Visite el sitio Controladores y descargas para obtener actualizaciones sobre los productos correspondientes. Tenga en cuenta que se vincula la siguiente lista de productos afectados por actualizaciones liberadas del BIOS. Para obtener más información, visite el artículo de la Base de conocimientos de Dell Actualizar un controlador o firmware Dell PowerEdge directamente desde el sistema operativo (Windows y Linux)y descargue la actualización para su computadora Dell.
Los clientes pueden utilizar una de las soluciones de notificación de Dell para recibir notificaciones y descargar actualizaciones de controladores, BIOS y firmware automáticamente una vez que estén disponibles.
Referencias adicionales:
- Guía de seguridad de software para desarrolladores: https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
- Intel Security First, página de MDS: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
- Intel Security Center: https://security-center.intel.com
- Respuesta de AMD a CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout y Rogue In-Flight Data Load [RIDL]): https://www.amd.com/en/corporate/product-security
- VMware: https://www.vmware.com/security/advisories/VMSA-2019-0008.html
- Microsoft: https://support.microsoft.com/en-us/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
- Red Hat: https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it
- SuSe: https://www.suse.com/security/cve/CVE-2018-12126/
- Ubuntu: https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
Notas:
Las fechas enumeradas son fechas de disponibilidad estimadas y están sujetas a cambios sin previo aviso.
La lista de plataformas para los productos de servidor De Dell EMC se actualizará periódicamente. Vuelva a consultar con frecuencia para obtener la información más actualizada.
Las versiones de actualización en la siguiente tabla son las primeras versiones con las actualizaciones para abordar las vulnerabilidades de seguridad. Estas versiones y superiores incluirán las actualizaciones de seguridad.
Las siguientes fechas de lanzamiento están en formato MM/DD/AAAA en EE. UU.
Las fechas de lanzamiento esperadas están en formato MM/AAAA.
Nota: Las plataformas 14G con procesadores Cascade Lake no se ven afectadas por esta vulnerabilidad mds (Intel-SA-00233), ya que incorporan mitigaciones de canal lateral en el hardware.
El almacenamiento Dell EMC PowerVault ME4 no se ve afectado por esta vulnerabilidad de MDS (Intel-SA-00233).
Productos de servidores Dell EMC afectados
| Producto |
Versión de actualización del BIOS |
Fecha de publicación/ Fecha de lanzamiento prevista |
| 2.2.10 |
30/05/2019 |
|
| 2.2.10 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.10 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 2.2.9 |
31/05/19 |
|
| 1.2.0 |
31/05/19 |
|
| 2.2.10 |
31/05/19 |
| 1.10.5 |
10/09/2019 |
|
| 2.7.1 |
10/09/2019 |
|
| R930 |
2.7.2 |
10/2019 |
| 2.10.5 |
18/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| XC730, XC703XD y XC630 |
2.10.5 |
09/2019 |
| 2.10.5 |
06/09/2019 |
|
| 2.10.5 |
06/09/2019 |
|
| 2.10.5 |
09/07/2019 |
|
| 2.10.5 |
06/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 1.10.5 |
09/19/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.2.0 |
10/09/2019 |
|
| 1.1.0 | 10/09/2019 |
|
| 2.10.3 |
27/06/2019 |
|
| DSS7500 |
2.10.3 |
09/2019 |
| 1.9.0 |
10/1/2019 |
|
| 2.6.0 |
09/24/2019 |
|
| 2.7.0 |
09/19/2019 |
|
| 2.7.0 |
09/19/2019 |
|
| R320,NX400 |
2.7.0 |
09/19/2019 |
| 2.7.0 |
09/19/2019 |
|
| 2.7.0 |
09/19/2019 |
|
| 1.11.0 |
09/25/2019 |
|
| 2.8.0 |
10/1/2019 |
|
| R620,NX3300 |
2.8.0 |
09/09/2019 |
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/19/2019 |
|
| A20 |
06/09/2019 |
|
| 1.5.0 |
09/19/2019 |
|
| 2.5.7 |
09/19/2019 |
|
| 2.10.0 |
09/19/2019 |
|
| 2.10.0 |
09/19/2019 |
Clasificación de gravedad:
Para obtener una explicación con respecto a las clasificaciones de gravedad, consulte el artículo Dell’s Vulnerability Disclosure Policy (Política de divulgación de vulnerabilidades de Dell). Dell EMC recomienda que todos los clientes tomen en cuenta tanto el puntaje base como cualquier puntaje temporal y ambiental relevante que pueda afectar la gravedad potencial asociada con una vulnerabilidad de seguridad específica.
Información legal:
Dell recomienda que todos los usuarios determinen la aplicabilidad de esta información en sus situaciones individuales y tomen las medidas adecuadas. La información estipulada en este documento se proporciona “tal cual” sin garantías de ningún tipo. Dell renuncia a todas las garantías, expresas o implícitas, incluidas las garantías de comerciabilidad e idoneidad para un propósito, título o no incumplimiento en particular. En ningún caso Dell ni sus proveedores serán responsables de daños, incluidos daños directos, indirectos, casuales y consecuentes, ni pérdida de ganancias comerciales o daños especiales, incluso si a Dell o sus proveedores se les advirtió acerca de la posibilidad de que tales daños ocurran. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños resultantes o accidentales, por lo que la limitación anterior puede no ser aplicable.