DSA-2019-089 : Avis de sécurité relatif aux serveurs Dell EMC pour Intel-SA-00233
Summary: Les serveurs Dell EMC requièrent une mise à jour de sécurité pour résoudre les vulnérabilités MDS (Microarchitectural Data Sampling) Intel. Pour des informations spécifiques relatives aux plates-formes concernées et les étapes suivantes pour appliquer les mises à jour, reportez-vous à ce guide. ...
This article applies to
This article does not apply to
Symptoms
Identifiant DSA : DSA-2019-089
Identifiant CVE : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091Severity
Moyen
Niveau de gravité : Score de base de CVSS v3 : Reportez-vous à la section NVD (http://NVD.nist.gov/) pour obtenir les scores individuels pour chaque
produit concerné par CVE :
Serveurs Dell EMC (consultez la section Résolution ci-dessous pour une liste complète des produits concernés)
Les serveurs Dell EMC requièrent une mise à jour de sécurité pour résoudre les vulnérabilités MDS (Microarchitectural Data Sampling) Intel.
Des mises à jour sont disponibles pour résoudre les vulnérabilités de sécurité suivantes. Vulnérabilités d’échantillonnage de données microarchitecturales Intel
Pour plus d’informations sur les vulnérabilités et expositions courantes (CVE) mentionnées ici, consultez la base de données nationale sur les vulnérabilités (NVD) à l’adresse http://nvd.nist.gov/home.cfm. Pour rechercher une référence CVE particulière, utilisez l’utilitaire de recherche de la base de données sur http://web.nvd.nist.gov/view/vuln/search.
La liste ci-dessous répertorie les produits concernés et les dates de publication attendues. Dell recommande la mise à jour de tous les clients à la première occasion.
Il existe deux composants essentiels qui doivent être appliqués pour limiter les vulnérabilités mentionnées ci-dessus :
Veuillez visiter le site pilotes et téléchargements pour obtenir des mises à jour sur les produits concernés. NB : dans la liste suivante, les produits affectés avec les mises à jour du BIOS sont liés. Pour en savoir plus, consultez l’article de la base de connaissances Dell mettre à jour le pilote ou le micrologiciel d’un Dell PowerEdge directement à partir du système d’exploitation (Windows et Linux)et téléchargez la mise à jour de votre ordinateur Dell.
Les clients peuvent utiliser l’une des solutions de notification Dell pour être averti et télécharger automatiquement les mises à jour des pilotes, du BIOS et du micrologiciel, une fois disponibles.
Références supplémentaires:
Remarques :
Remarque : les plates-formes 14G avec des processeurs en cascade Lake ne sont pas affectées par cette vulnérabilité MDS (Intel-SA-00233) car elles intègrent des mesures d’atténuation du canal côté matériel.
Dell EMC PowerVault le stockage ME4 n’est pas affecté par cette vulnérabilité MDS (Intel-SA-00233).
Identifiant CVE : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091Severity
Moyen
Niveau de gravité : Score de base de CVSS v3 : Reportez-vous à la section NVD (http://NVD.nist.gov/) pour obtenir les scores individuels pour chaque
produit concerné par CVE :
Serveurs Dell EMC (consultez la section Résolution ci-dessous pour une liste complète des produits concernés)
Les serveurs Dell EMC requièrent une mise à jour de sécurité pour résoudre les vulnérabilités MDS (Microarchitectural Data Sampling) Intel.
Des mises à jour sont disponibles pour résoudre les vulnérabilités de sécurité suivantes. Vulnérabilités d’échantillonnage de données microarchitecturales Intel
- CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Pour plus d’informations sur les vulnérabilités et expositions courantes (CVE) mentionnées ici, consultez la base de données nationale sur les vulnérabilités (NVD) à l’adresse http://nvd.nist.gov/home.cfm. Pour rechercher une référence CVE particulière, utilisez l’utilitaire de recherche de la base de données sur http://web.nvd.nist.gov/view/vuln/search.
La liste ci-dessous répertorie les produits concernés et les dates de publication attendues. Dell recommande la mise à jour de tous les clients à la première occasion.
Il existe deux composants essentiels qui doivent être appliqués pour limiter les vulnérabilités mentionnées ci-dessus :
- Appliquez la mise à jour du BIOS répertoriée dans la section Serveurs Dell EMC concernés ci-dessous.
- Appliquez le correctif du système d’exploitation applicable. Cette étape permet de limiter l’impact des vulnérabilités associées Intel-SA-00233.
Veuillez visiter le site pilotes et téléchargements pour obtenir des mises à jour sur les produits concernés. NB : dans la liste suivante, les produits affectés avec les mises à jour du BIOS sont liés. Pour en savoir plus, consultez l’article de la base de connaissances Dell mettre à jour le pilote ou le micrologiciel d’un Dell PowerEdge directement à partir du système d’exploitation (Windows et Linux)et téléchargez la mise à jour de votre ordinateur Dell.
Les clients peuvent utiliser l’une des solutions de notification Dell pour être averti et télécharger automatiquement les mises à jour des pilotes, du BIOS et du micrologiciel, une fois disponibles.
Références supplémentaires:
- Conseils de sécurité logicielle à l’usage des développeurs : https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
- Intel Security First – page MDS : https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
- Centre de sécurité Intel : https://security-center.intel.com
- Réponse d’AMD aux vulnérabilités CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout and Rogue In-Flight Data Load (RIDL)) : https://www.amd.com/en/corporate/product-security
- VMware : https://www.vmware.com/security/advisories/VMSA-2019-0008.html
- Microsoft : https://support.microsoft.com/fr-fr/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
- Red Hat : https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it
- SuSe : https://www.suse.com/security/cve/CVE-2018-12126/
- Ubuntu : https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
Remarques :
- Les dates indiquées représentent une estimation des dates de disponibilité et peuvent être modifiées sans préavis.
- La liste des plates-formes des produits serveur Dell EMC sera mise à jour régulièrement. Veuillez consulter régulièrement les informations pour connaître les plus récentes.
- Les versions des mises à jour figurant dans le tableau ci-dessous sont les premières versions permettant de résoudre les vulnérabilités. Toutes les versions supérieures incluent ces mises à jour de sécurité.
- Les dates de publication ci-dessous suivent le format JJ/MM/AAAA.
- Les dates de publication prévues suivent le format MM/AAAA.
Remarque : les plates-formes 14G avec des processeurs en cascade Lake ne sont pas affectées par cette vulnérabilité MDS (Intel-SA-00233) car elles intègrent des mesures d’atténuation du canal côté matériel. Dell EMC PowerVault le stockage ME4 n’est pas affecté par cette vulnérabilité MDS (Intel-SA-00233).
Produits serveur Dell EMC concernés
| Product (Produit) |
Version de la mise à jour du BIOS (ou version ultérieure) |
Date de version/ Date de publication (MM/DD/YYYY) |
| Modèles R640, R740, R740XD, R940, NX3240, NX3340 : |
2.2.10 |
30/05/19 |
| XC740XD, XC640, XC940 |
2.2.10 |
31/05/2019 |
| R540, R440, T440, XR2 |
2.2.9 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| R840, R940xa |
2.2.10 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| C6420, XC6420 |
2.2.9 |
31/05/2019 |
| FC640, M640, M640P |
2.2.9 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| 2.2.9 |
31/05/2019 |
|
| 2.2.9 |
31/05/2019 |
|
| T140, T340, R240, R340, NX440 |
1.2.0 |
31/05/2019 |
| DSS9600, DSS9620, DS9630 |
2.2.10 |
31/05/2019 |
| 1, 10,5 |
10/09/2019 |
|
| T130, R230, T330, R330, NX430 |
2.7.1 |
10/09/2019 |
| R930 |
7,2.2. |
10/2019 |
| R730, R730XD, R630 |
2.10.5 |
18/09/2019 |
| NX3330, NX3230, DSMS630, DSMS730 |
2.10.5 |
10/09/2019 |
| C730, XC703XD, XC630 |
2.10.5 |
09/2019 |
| 2.10.5 |
06/09/2019 |
|
| M630, M630P, FC630 |
2.10.5 |
06/09/2019 |
| 2.10.5 |
07/09/2019 |
|
| M830, M830P, FC830 |
2.10.5 |
06/09/2019 |
| 2.10.5 |
10/09/2019 |
|
| R530, R430, T430 |
2.10.5 |
10/09/2019 |
| XC430, XC430Xpress |
2.10.5 |
10/09/2019 |
| 1, 10,5 |
19/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.2.0 |
10/09/2019 |
|
| 1.1.0 | 10/09/2019 |
|
| DSS1500, DSS1510, DSS2500 |
2.10,3. |
27/06/2019 |
| DSS7500 |
2.10,3. |
09/2019 |
| 1.9.0 |
01/10/2019 |
|
| 2.6.0 |
24/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| R320, NX400 |
2.7.0 |
19/09/2019 |
| 2.7.0 |
19/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| 1.11.0 |
25/09/2019 |
|
| R720, R720XD, NX3200, XC720XD |
2.8.0 |
01/10/2019 |
| R620, NX3300 |
2.8.0 |
09/09/2019 |
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
19/09/2019 |
|
| A20 |
06/09/2019 |
|
| 1.5.0 |
19/09/2019 |
|
| 2, 5,7 |
19/09/2019 |
|
| 2.10.0 |
19/09/2019 |
|
| C8220, C8220X |
2.10.0 |
19/09/2019 |
Indice de gravité :
Pour plus d’informations sur les indices de gravité, reportez-vous à la Politique de divulgation des vulnérabilités de Dell. Dell EMC recommande que tous les clients tiennent compte à la fois du score de base et de tous les scores temporels et environnementaux pertinents qui peuvent avoir un impact sur la gravité potentielle associée à une faille de sécurité particulière.
Informations légales:
Dell recommande que tous les utilisateurs déterminent l’applicabilité de ces informations à leurs situations individuelles et qu’ils effectuent les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. En aucun cas, Dell ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris en cas de dommages directs, indirects, induits ou accidentels, de perte d’exploitation ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.