Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Speculative Execution -sivukanavan haavoittuvuudet (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646): vaikutus Dell EMC:n PowerEdge-palvelimiin, tallennustuotteisiin (SC, PS ja PowerVault MD) ja verkkotuotteisiin

Resumen: Dell EMC:n ohjeet palvelin-, tallennus- ja verkkotuotteiden sivukanavan haavoittuvuuksien (L1TF eli L1 Terminal Fault) korjaamiseksi. Katso tästä oppaasta tarkat tiedot ympäristöistä, joihin ongelma vaikuttaa, ja päivitysten asentamisesta. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

31.8.2018

CVE-tunnus: CVE-2018-3615, CVE-2018-3620, CVE-2018-3646
Dell on tietoinen hiljattain ilmoitetusta suorittimen Speculative Execution -haavoittuvuuksien luokasta (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646), joista käytetään yhteisnimitystä L1TF (L1 Terminal Fault) ja jotka koskevat Intelin mikroprosessoreita. Lisätietoja näistä haavoittuvuuksista on Intelin julkaisemassa tietoturvatiedotteessa.

Dell tutkii näiden haavoittuvuuksien vaikutusta tuotteisiimme, ja pyrimme lieventämään niitä yhdessä Intelin ja muiden alan kumppanien kanssa. Lieventämistoimet vaihtelevat tuotteen mukaan, ja ne saattavat sisältää päivityksiä laiteohjelmistoihin, käyttöjärjestelmiin ja hypervisorin osiin.

Dell EMC suosittelee, että asiakkaat suojautuvat näiden haavoittuvuuksien mahdolliselta väärinkäytöltä tuleviin päivityksiin saakka noudattamalla yleisiä haittaohjelmilta suojautumiseen liittyviä turvallisuusohjeita. Suosittelemme esimerkiksi ohjelmistopäivitysten ripeää asentamista, tuntemattomien hyperlinkkien ja sivustojen välttämistä, tiedostojen ja sovellusten lataamista ainoastaan tunnetuista lähteistä sekä ajantasaisten virustorjuntaratkaisujen ja kattavien suojausratkaisujen käyttämistä.

Dell EMC:n PowerEdge-palvelimet / XC-sarjan hyperkonvergoidut laitteet

Edellä mainittujen haavoittuvuuksien poistamiseksi on otettava käyttöön kaksi keskeistä osaa:

1. CVE-2018-3639- ja CVE-2018-3640-tiedotteita varten on julkaistu aiemmin BIOS, joka sisältää tarvittavan mikrokoodin. Tarkista järjestelmäsi kyseisistä tuotetaulukoista.

2. Käyttöjärjestelmän ja hypervisorin päivitykset


Jos tuotteesi päivitetty BIOS on luettelossa, Dell EMC suosittelee, että päivität siihen ja otat käyttöön asianmukaiset käyttöjärjestelmän korjaukset, jotta voit suojautua mainituilta haavoittuvuuksilta.

Dell EMC:n tallennustuotteet (SC-sarja, PS-sarja ja PowerVault MD -sarja)
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.

Dell EMC:n verkkotuotteet
Tarkista asianmukaiset korjausohjeet ja analyysit tuotetaulukoista.

Lisätietoja muista Dell-tuotteista on osoitteessa https://www.dell.com/support/article/sln318303.

 

BIOS-/laiteohjelmisto-/ohjainpäivitykset tallennus- (mukaan lukien palvelimen käyttämät tallennusympäristöt) ja verkkotuotteisiin


 
 
 
Dellin tallennustuotevalikoima
Arvio
EqualLogic PS -sarja Ei sovellettavissa
Ilmoitetut ongelmat eivät vaikuta tuotteen suorittimeen. Se on Broadcomin MIPS-suoritin, jossa ei ole Speculative Execution -ominaisuutta.
Dell EMC SC -sarja (Compellent) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Tuote on suunniteltu siten, että käyttäjät eivät voi ladata ja suorittaa järjestelmässä mitään ulkoista ja/tai epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta uusia tietoturvariskejä tuotteelle.
Dell Storage MD3- ja DSMS MD3 -sarja
Dell PowerVault -nauha-asemat ja -kirjastot
   
Dell Storage FluidFS -sarja (sisältää: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
 
 
 
Dell Storage Virtual Appliance
Arvio
Dell Storage Manager Virtual Appliance (DSM VA - Compellent) Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata ulkoista ja/tai mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
Dellin VMWare-tallennuksen integrointityökalut (Compellent)
Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic)
 
 
 
Dellin tallennustuotevalikoima
Arvio
Dell NX -tallennustuotteet Ongelma vaikuttaa näihin.
Tarkista BIOS-korjaustiedot asianmukaisista PowerEdge-palvelintiedoista. Tarkista käyttöjärjestelmätason korjausohjeet asianmukaisista käyttöjärjestelmän valmistajan suosituksista.
Dell DSMS -tallennustuotteet

Ympäristöt Arvio
C-sarja - C1048P, C9010 Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
M I/O -kerääjä Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
MXL
FX2
N11xx, N15xx, N20xx, N30xx
N2128PX, N3128PX
Navasota
S55, S60
SIOM
   
S-sarja - vakio ja -ON Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
Z-sarja - vakio ja ON
 
Verkko – kiinteän portin kytkimet
Ympäristöt Arvio
PowerConnect-sarjan kytkimet Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
C9000-sarjan linjakortit
   
Mellanox SB7800 -sarja, SX6000-sarja Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
Ympäristön ohjelmistot Arvio
VM ja Emulator Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
OS10.4.0 ja aiemmat Base ja Enterprise Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä.
OS10.4.1 Base ja Enterprise
   
OS9 (kaikki versiot) Ei sovellettavissa.
Käyttöjärjestelmä ei ole altis tälle hyökkäykselle.
Ympäristö Arvio
W-sarja Ei sovellettavissa.
Ilmoitetut ongelmat eivät vaikuta tuotteiden suorittimeen.
Langattomat laitteet:
W-Airwave Ei uusia tietoturvariskejä.
Jotta hyökkääjä voisi hyödyntää näitä haavoittuvuuksia, hänen täytyy ensin pystyä suorittamaan haitallista koodia kohdejärjestelmässä. Ainoastaan järjestelmän pääkäyttäjillä ja vastaavilla on oikeus ladata mahdollisesti epäluotettavaa koodia. Ilmoitetut ongelmat eivät aiheuta tuotteelle uusia tietoturvariskejä, kunhan noudatetaan erittäin laajojen oikeuksien tilien suojaamiseen liittyviä parhaita käytäntöjä. Suosittelemme, että asiakkaat varmistavat täyden suojauksen korjaamalla virtuaalisen palvelinympäristön, jossa tuotetta käytetään.
W-ClearPass-laitteisto
W-ClearPass-virtuaalilaitteet
   
W-ClearPass 100 -ohjelmisto Ei sovellettavissa.
Ohjelmisto toimii virtuaaliympäristössä. Suosittelemme, että asiakkaat korjaavat virtuaalisen palvelinympäristön, jossa tuotetta käytetään.


Ulkoiset viitteet

Causa

-

Resolución

-

Productos afectados

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Propiedades del artículo
Número del artículo: 000137307
Tipo de artículo: Solution
Última modificación: 07 oct 2021
Versión:  5
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.