Уязвимости микропроцесора при сторонних каналах (CVE-2018-3639 и CVE-2018-3640): Влияние на серверы Dell EMC PowerEdge, системы хранения (серии SC, PS и PowerVault серии MD) и сетевые продукты
Samenvatting: Указания Dell EMC по снижению риска и разрешению проблем уязвимостей, связанных с анализом сторонних каналов (известных как «Speculative Store Bypass» и «Rogue System Register Read»), для серверов, систем хранения данных и сетевых продуктов. Обратитесь к данному руководству для получения конкретной информации о затронутых платформах и следующих действиях по применению обновлений. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
2018-11-09
Идентификатор CVE: CVE-2018-3639, Специалистам Dell EMC CVE-2018-3640 известно об уязвимостях обходных каналов, описанных в
CVE-2018-3639 (также известном как Speculative Store Bypass) и CVE-2018-3640 (также известном как Rogue System Register Read), которые затрагивают многие современные микропроцессуатуры, опубликованные 21 мая в Google Project Zero и Microsoft Security Response Center. 2018 г. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации ознакомьтесь с обновлениями системы безопасности,опубликованной Intel .
Специалисты Dell EMC изучают влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению рисков могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), Virtual Machine Manager (VMM) и других программных компонентов.
Dell EMC рекомендует пользователям до выпуска новых обновлений следовать передовым практикам по обеспечению защиты от вредоносного ПО, чтобы предотвратить возможные атаке с использованием этих уязвимостей. К таким практикам относятся, в частности, быстрое развертывание обновлений ПО, предотвращение неизвестных гиперссыжек и веб-сайтов, никогда не скачивание файлов или приложений из неизвестных источников, а также использование актуальных антивирусных решений и решений для расширенной защиты от угроз.
Серверы Dell EMC PowerEdge
Чтобы устранить упомянутые выше уязвимости, необходимо применить два основных компонента:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если в списке продукта имеется обновленный BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС, чтобы обеспечить защиту от перечисленных CES.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов для серверов PowerEdge.
Системы хранения Dell EMC (серии SC, PS и PowerVault серии MD)
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Продукты Dell EMC Networking
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Сведения о других продуктах Dell см. в статье: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В таблицах ниже перечислены продукты, для которых доступны рекомендации по BIOS, микропрограммам и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, проверьте ее позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные способы приведены в этой статье.
Это минимальные необходимые версии BIOS.
Управление системами для серверных продуктов PowerEdge
Обновите BIOS только с помощью обновления без пакетов на платформах серии NX 11-го поколения.
Идентификатор CVE: CVE-2018-3639, Специалистам Dell EMC CVE-2018-3640 известно об уязвимостях обходных каналов, описанных в
CVE-2018-3639 (также известном как Speculative Store Bypass) и CVE-2018-3640 (также известном как Rogue System Register Read), которые затрагивают многие современные микропроцессуатуры, опубликованные 21 мая в Google Project Zero и Microsoft Security Response Center. 2018 г. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации ознакомьтесь с обновлениями системы безопасности,опубликованной Intel .
Специалисты Dell EMC изучают влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению рисков могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), Virtual Machine Manager (VMM) и других программных компонентов.
Dell EMC рекомендует пользователям до выпуска новых обновлений следовать передовым практикам по обеспечению защиты от вредоносного ПО, чтобы предотвратить возможные атаке с использованием этих уязвимостей. К таким практикам относятся, в частности, быстрое развертывание обновлений ПО, предотвращение неизвестных гиперссыжек и веб-сайтов, никогда не скачивание файлов или приложений из неизвестных источников, а также использование актуальных антивирусных решений и решений для расширенной защиты от угроз.
Серверы Dell EMC PowerEdge
Чтобы устранить упомянутые выше уязвимости, необходимо применить два основных компонента:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если в списке продукта имеется обновленный BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС, чтобы обеспечить защиту от перечисленных CES.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов для серверов PowerEdge.
Системы хранения Dell EMC (серии SC, PS и PowerVault серии MD)
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Продукты Dell EMC Networking
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Сведения о других продуктах Dell см. в статье: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В таблицах ниже перечислены продукты, для которых доступны рекомендации по BIOS, микропрограммам и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, проверьте ее позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные способы приведены в этой статье.
Это минимальные необходимые версии BIOS.
Обновление BIOS/микропрограммы/драйвера для серверов PowerEdge, системы хранения (включая используемые платформы хранения данных) и сетевых продуктов
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| EqualLogic серии PS | Не применимо. Используемый в продукте процессор не затронут обнаруженными проблемами. Используется процессор Broadcom MIPS без спекулятивного выполнения команд. |
| Dell EMC серии SC (Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Серия массивов хранения Dell MD3 и DSMS MD3 | |
| Ленточные накопители и библиотеки Dell PowerVault | |
| Системы хранения Dell серии FluidFS (включает: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. |
|
Dell Storage Virtual Appliance
|
Оценка
|
| Dell Storage Manager Virtual Appliance (DSM VA — Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. Рекомендуется установить исправления для виртуальной хост-среды, в которой устройство развернуто для полной защиты. |
| Dell Storage Integration Tools for VMware (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM — EqualLogic) |
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| Системы хранения Dell семейства NX | Затронуто. См. соответствующую информацию о сервере PowerEdge для сведений об исправлениях для BIOS. Следуйте рекомендациям по снижению риска на уровне ОС, предоставленным производителем соответствующей операционной системы. |
| Системы хранения Dell семейства DSMS |
Управление системами для серверных продуктов PowerEdge
|
Компонент
|
Оценка
|
|
Idrac: 14G, 13G, 12G, 11G
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
|
Контроллер Chassis Management Controller (CMC): 14G, 13G, 12G, 11G
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Поколение | Модели | Версия BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Поколение | Модели | Версия BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Поколение | Модели | Версия BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | В разработке | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Обновите BIOS только с помощью обновления без пакетов на платформах серии NX 11-го поколения.
| Модели | Версия BIOS/микропрограммы/драйвера |
| ВМ OS10 Basic | В разработке |
| ВМ OS10 Enterprise | В разработке |
| Эмулятор ОС S | В разработке |
| Эмулятор ОС Z | В разработке |
| S3048-ON OS10 Basic | В разработке |
| S4048-ON OS10 Basic | В разработке |
| S4048T-ON OS10 Basic | В разработке |
| S6000-ON OS Basic | В разработке |
| S6010-ON OS10 Basic | В разработке |
| Z9100 OS10 Basic | В разработке |
Сеть — коммутаторы фиксированных портов
| Платформы | Версия BIOS/микропрограммы/драйвера |
| Mellanox серии SB7800, серии SX6000 | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | В разработке |
| W-7005, W-7008, W-7010, W-7024, W-7030, серия W-7200, W-7205 | В разработке |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | В разработке |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | В разработке |
| W-AP68, W-AP92, W-AP93, W-AP93H | В разработке |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | В разработке |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | В разработке |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | В разработке |
| Точки доступа серии W — 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | В разработке |
| W-Series Controller AOS | В разработке |
| W-Series FIPS | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-Airwave | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Аппаратные устройства W-ClearPass | В разработке |
| Виртуальные устройства W-ClearPass | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Программное обеспечение W-ClearPass 100 | В разработке |
Внешние ссылки
- Советы по безопасности Intel — Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft — ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft — ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Блог Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Руководство для разработчиков по проблеме обхода спекулятивного хранения: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Сайт Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Oorzaak
-
Oplossing
-
Getroffen producten
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage ModelsArtikeleigenschappen
Artikelnummer: 000178082
Artikeltype: Solution
Laatst aangepast: 30 aug. 2023
Versie: 7
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.