Treceți la conținutul principal

微處理器旁路漏洞 (CVE-2017-5715、CVE-2017-5753、CVE-2017-5754):對 Dell Technologies 伺服器、儲存裝置和網路的影響

Summary: Dell Technologies 針對伺服器、儲存裝置和網路產品降低側通道分析漏洞 (又稱為 Meltdown 和 Spectre) 風險和解決方法的指導方針。 如需受影響平臺的特定資訊,以及套用更新的後續步驟,請參閱本指南。

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.

Symptoms

2018-11-21

CVE ID:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

Dell Technologies 深知側通道分析漏洞 (又稱為 Meltdown 和 Spectre) 會影響許多現代微處理器,而安全性研究人員團隊于 2018 年 1 月 3 日公開說明這些漏洞。我們鼓勵客戶檢閱在「參考」區段中的安全性諮詢,以取得更多資訊。

注意:修補程式指導方針 (更新 2018-02-08):

Dell Technologies 已根據其于 1 月 22 日發佈的公告收到 Intel 的新微碼。Dell Technologies 會為受影響的平臺發出新的 BIOS 更新,以解決 Spectre (變異 2)、CVE-2017-5715。產品表格已更新,並會隨著 Intel 發佈更多微碼更新。如果您的產品已列出更新的 BIOS,Dell Technologies 建議您升級至該 BIOS,並套用適當的作業系統更新,以緩解 Meltdown 和 Spectre 的影響。

如果您的產品未列出更新的 BIOS,Dell Technologies 仍建議客戶不要部署先前發佈的 BIOS 更新,並等待更新版本。

如果您已根據 Intel 的 1 月 22 日公告部署可能有問題的 BIOS 更新,以避免無法預測的系統行為,您可以還原至先前的 BIOS 版本。請參閱以下表格

提醒您,作業系統修補程式不會受到影響,但仍可為 Spectre (變異 1) 和 Meltdown (變異 3) 提供緩解功能。微碼更新僅適用於 Spectre (變異 2)、CVE-2017-5715。

  必須套用兩個基本元件,以緩解上述漏洞:

  1. 系統 BIOS,如下表所示
  2. 作業系統和 Hypervisor 更新。
我們鼓勵客戶檢閱適當的 Hypervisor/OS 廠商安全性諮詢。下方的「參考」區段包含部分廠商的連結。

Dell Technologies 建議客戶遵循安全性最佳的惡意程式碼保護做法,以防止可能利用這些分析方法,直到日後可以套用任何更新。這些做法包括立即採用軟體更新、避免無法辨識的超連結和網站、保護有權限帳戶的存取,以及遵循安全密碼通訊協定。
 

Dell 產品針對這三個 CVE 漏洞不需要修補程式或修正


 
 
 
Dell Storage 產品線
評估
EqualLogic PS 系列 本產品中使用的 CPU 不會實施臆測執行,因此漏洞並不適用於此硬體。
Dell EMC SC 系列 (Dell Compellent) 限制存取平臺作業系統以載入外部程式碼;無法執行惡意程式碼。
Dell Storage MD3 和 DSMS MD3 系列 限制存取平臺作業系統以載入外部程式碼;無法執行惡意程式碼。
Dell PowerVault 磁帶機和程式庫 限制存取平臺作業系統以載入外部程式碼;無法執行惡意程式碼。
Dell Storage FluidFS 系列 (包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) 僅限許可權帳戶存取平臺作業系統載入外部程式碼。
惡意程式碼無法執行,前提是遵循保護有權限帳戶存取的建議最佳實務。
 
 
 
 
Dell Storage 虛擬裝置
評估
Dell Storage Manager 虛擬裝置 (DSM VA - Dell Compellent) 這些虛擬裝置不提供一般使用者存取權。
其為僅限根使用者的單一使用者,因此不會對環境造成任何額外的安全性風險。
主機系統和 Hypervisor 必須受到保護;請參閱上述廠商連結和最佳實務聲明。
 
適用于 VMware 的 Dell Storage Integration 工具 (Dell Compellent)
Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic)

PowerEdge 伺服器產品的系統管理
 
 
 
元件
評估
 iDRAC:14G、13G、12G、11G  
不受影響。
iDRAC 是一個關閉的系統,不允許執行外部協力廠商代碼。
 機箱管理控制器 (CMC):14G、13G、12G、11G  
不受影響。
CMC 是一個關閉的系統,不允許執行外部協力廠商代碼。
平台 評估
 
Dell 10Gb 乙太網路傳遞
這些產品是僅限根使用者的單一使用者裝置。所報告的問題不會對客戶的環境造成任何額外的安全性風險,前提是遵循保護高權限帳戶存取的建議最佳實務。
Dell 10Gb-K 乙太網路傳遞
Dell Ethernet Pass-Through
FC8 Pass-Through
Force10 MXL Blade
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
平台 評估
 
Brocade M5424、M6505、M8428-k 廠商聲明
Cisco Catalyst 3032、3130、3130G、3130X 廠商聲明
Cisco Catalyst Nexus B22 Dell Blade Fabric Extender 廠商聲明
平台 評估
 
C1048P、C9010

這些產品是僅限根使用者的單一使用者裝置。所報告的問題不會對客戶的環境造成任何額外的安全性風險,前提是遵循保護高權限帳戶存取的建議最佳實務。
M I/O Aggregator
MXL
FX2
N11xx、N15xx、N20xx、N30xx、
N2128PX、N3128PX
S55、S60
S3048-On OS9、S3048-on OS10 Enterprise、S3100、S3124F、S3124P、S3148P
S4048、S4048-ON OS9、S4048-ON OS10 Enterprise、S4048T-ON OS9、S4048T-ON OS10 Enterprise
S4128F-ON、S4148F-ON、S4128T-ON、S4148T-ON、S4148U-ON、S4148FE-ON、S4148FB、S4248FBL
S5048、S5048F-ON、S5148F
S6000、S6000-ON OS9、S6010-ON OS9、S6010-ON OS10 Enterprise、S6100-ON
SIOM
Z9000、Z9100 OS9、Z9100 OS10 Enterprise
平台 評估
 
PowerConnect 2016、2124、2216、2224、2324、2508、2608、2616、2624

這些產品是僅限根使用者的單一使用者裝置。所報告的問題不會對客戶的環境造成任何額外的安全性風險,前提是遵循保護高權限帳戶存取的建議最佳實務。
PowerConnect 2708、2716、2724、2748、2808、2816、2824、2848
PowerConnect 3024、3048、3248、3324、3348
PowerConnect 3424、3424P、3448、3448P、3524、3524P、3548、3548P
PowerConnect 5012、5212、5224、5316M、5324、5424、5448、5524、5524P、5548、5548P
PowerConnect 6024、6024F、6224、6224F、6224P、6248、6248P
PowerConnect 7024、7024F、7024P、7048、7048P、7048R
PowerConnect 8024、8024F、8100 系列
PowerConnect B-8000、B-8000e、B-FCXs、B-T124X
PowerConnect J-EX4200、J-EX4200-24F、J-EX4200-24t、J-EX4200-48t、J-EX4500
PowerConnect J-SRX100、J-SRX210、SRX240
C9000 系列線路卡
平台 評估
 
Brocade 300、4424 Switch Fi、5100、5300 廠商聲明
Brocade 6505、6510、6520、G620 廠商聲明
Cisco Catalyst 3750E-48TD、4900M、4948-10GE 廠商聲明
平台 評估
 
Active Fabric Controller 軟體未受影響
Active Fabric Manager 軟體未受影響
Dell Networking vCenter 附掛程式 軟體未受影響
Dell OpenManage Network Manager 軟體未受影響
Open Automation 軟體未受影響
軟體定義網路 軟體未受影響
 
注意:下方表格會列出提供 BIOS/韌體/驅動程式說明的產品。此資訊會隨著其他資訊可用而更新。如果您看不到平臺,請稍後再查看。

伺服器 BIOS 可以使用iDRAC進行更新,如需更多資訊,請參閱 Dell 知識庫文章「如何使用整合式 Dell Remote Access Controller (iDRAC) Web 介面遠端更新韌體,或直接從作業系統更新韌體」,或是更多資訊,請參閱 Dell 知識庫文章:直接從作業系統 (Windows 和 Linux) 更新 Dell PowerEdge 驅動程式或韌體。
如需其他方法,請參閱 Dell 知識庫文章,更新 Dell PowerEdge 伺服器上的韌體和驅動程式

這些是最低需要的 BIOS 版本。

PowerEdge 伺服器和 Networking 產品的 BIOS/韌體/驅動程式更新


世代 型號 BIOS 版本
14G R740、R740XD、R640、R940 XC740XD、XC640 1.3.7
R540、R440、T440、XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640、M640、M640P 1.3.7
C4140 1.1.6
R6415、R7415 1.0.9
R7425 1.0.9
世代 型號 BIOS 版本
13G R830 1.7.1
T130、R230、T330、R330、NX430 2.4.3
R930 2.5.1
R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 2.7.1
C4130 2.7.1
M630、M630P、FC630 2.7.1
FC430 2.7.1
M830、M830P、FC830 2.7.1
T630 2.7.1
R530、R430、T430、XC430、XC430Xpress 2.7.1
R530XD 1.7.0
C6320、XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12
世代 型號 BIOS 版本
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320、NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720、R720XD、NX3200、XC720XD 2.6.1
R620、NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220、C8220X 2.8.1
世代 型號 BIOS 版本
11G R710 6.5.0
NX3000 6.6.0***
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 1.14.0***
R410 1.13.0
NX300 1.14.0***
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 1.14.0***
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610、M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
注意:***只有在 11G NX 系列平台上使用非套裝更新來更新 BIOS。
型號 BIOS 版本
DSS9600、DSS9620、DSS9630 1.3.7
DSS1500、DSS1510、DSS2500 2.7.1
DSS7500 2.7.1
型號 BIOS/韌體/驅動程式版本
OS10 Basic VM 進行中
OS10 Enterprise VM 進行中
S OS-Emulator 進行中
Z OS-Emulator 進行中
S3048-ON OS10 Basic 進行中
S4048-ON OS10 Basic 進行中
S4048T-ON OS10 Basic 進行中
S6000-ON OS Basic 進行中
S6010-ON OS10 Basic 進行中
Z9100 OS10 Basic 進行中
 
Networking - 固定連接埠交換器
平台 BIOS/韌體/驅動程式版本
Mellanox SB7800 系列、SX6000 系列 Mellanox 正在仔細調查已發佈的修補程式,並會在可用時發佈軟體更新。廠商聲明
型號 BIOS/韌體/驅動程式版本
W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 連結 - 需要登入。
W-7005、W-7008、W-7010、W-7024、W-7030、W-7200 系列、W-7205 連結 - 需要登入。
W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 連結 - 需要登入。
W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 連結 - 需要登入。
W-AP68、W-AP92、W-AP93、W-AP93H 連結 - 需要登入。
W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 連結 - 需要登入。
W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 連結 - 需要登入。
W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 連結 - 需要登入。
W 系列存取點 - 205H、207、228、277、304、305、314、315、324、325、334、335 連結 - 需要登入。
W 系列控制器 AOS 連結 - 需要登入。
W 系列 FIPS 連結 - 需要登入。
型號 BIOS/韌體/驅動程式版本
W-Airwave 連結 - 需要登入 - 確定 Hypervisor 有適當的修補程式。
W-ClearPass 硬體裝置 連結 - 需要登入。
W-ClearPass 虛擬裝置 連結 - 需要登入 - 確定 Hypervisor 有適當的修補程式。
W-ClearPass 100 軟體 連結 - 需要登入。

其他 Dell 產品的更新

外部參照

作業系統修補程式指引

效能連結


常見問答集 (FAQ)

問題:如何防範這些漏洞?
答案:與 Meltdown 和 Spectre 相關聯的漏洞有三個。對於所有三個漏洞,客戶必須從其作業系統廠商部署作業系統修補程式。只有 Spectre Variant 2 (CVE-2017-5715) 需要使用處理器廠商提供的微碼進行 BIOS 更新。目前,Intel 尚未提供可防止 Spectre 變異 2 漏洞的微碼更新。

請參閱下表:
 

變異到修補程式

需要微碼更新?

需要作業系統修補程式?

Spectre (變異 1)
CVE-2017-5753

Spectre (變異 2)
CVE-2017-5715

Meltdown (變異 3)
CVE-2017-5754


問題:Dell Technologies 目前關於更新作業系統修補程式的建議為何?
回答:請參閱作業系統廠商的修補程式指導方針連結。

問題:Dell Technologies 是否有未受影響的企業產品清單?
回答:Dell Technologies 列出不受影響的企業產品。請參閱此三個 CVE 漏洞不需要修補程式或修正的 Dell 產品

問題:如果我執行虛擬伺服器,該怎麼辦?
答案:Hypervisor 和所有客體作業系統都必須更新。

問題:網際網路瀏覽器是否有可能受到影響?(JavaScript 變異 2 漏洞)?
答案:是的,網際網路瀏覽器可能會受到 Spectre 漏洞的影響,而且大多數瀏覽器都提供了更新的版本或修補程式,以緩解此潛在的漏洞。如需其他資訊,請參閱以下 Chrome、Internet Explorer 和 Mozilla 的連結。

問題:iDRAC 和 PERC 呢?
答案:PERC 和 iDRAC 都是不允許協力廠商 (使用者) 程式碼執行的封閉式系統。Spectre 和 Meltdown 皆需要能夠在處理器上執行任意程式碼。由於此封閉式程式碼配置,週邊設備均不會承受到旁路分析微處理器漏洞的風險。

問題:裝置呢?是否有其他未受影響的應用程式?
回答:不允許協力廠商 (使用者) 程式碼執行的封閉式系統並不會受到攻擊。

問題:AMD Opteron 處理器呢?
答案https://www.amd.com/en/corporate/speculative-execution
問題:Dell Technologies 針對 Intel 系統提供微碼更新的 BIOS 何時可以使用?
回答:已更新包含 Intel 微碼安全性更新的 BIOS 可用於 PowerEdge 14G、13G、12G 和部分 11G 系統。

問題:執行 PowerEdge 技術 (VXRail 等)
之融合架構的 BIOS 何時可用?回答:Dell Technologies 正努力針對所有執行 PowerEdge 技術的融合架構平臺,驗證現有的 PowerEdge 程式碼更新。更新會在有其他資訊可用時提供。

問題:Dell Technologies 是否會在原廠安裝 PowerEdge 伺服器和融合架構的作業系統和 Hypervisor 修補程式?
回答:自 2018 年 3 月 6 日起,Dell 原廠會安裝下列版本的作業系統更新,以協助降低 Spectre/Meltdown 漏洞。這些已設定 (盡可能) 以獲得最大保護 (完全啟用)。有時,廠商會提供較新的更新。  繼續查看作業系統廠商網站,以取得特定的組態指引,以及較新的更新和組態選項。  
  • Windows Server 2016:KB4056890                (2018 年 1 月 4 日發佈)
  • Red Hat Software Enterprise Linux 7.4:核心-3.10.0-693.11.6.el7.x86_64 (2018 年 1 月 4 日發佈)
  • SuSE Linux Enterprise Server 12 SP3:kernel-default-4.4.103-6.38.1.x86_64                (2018 年 1 月 4 日發佈)
  • VMware ESXi 6.5U1:修訂 A08 組建 7388607 (包含 VMSA-2018-002 修補程式)
  • VMware ESXi 6.0U3:修訂 A08 組建 6921384 (包含 VMSA-2018-002 修補程式)

問題:我已得知此漏洞會影響至少 10 年前的微處理器。Dell 提供多久前的 BIOS 更新?
答案:Dell 正與 Intel 合作,為回到第 11 代產品線的 PowerEdge 系統,提供所需的 BIOS 與微碼修補程式。任何包含安全性修正微碼更新的 BIOS 更新,將視受影響的處理器廠商提供 Dell Technologies 程式碼更新而定。

問題:Dell Technologies 是否會為超出保固期的系統提供技術支援?
回答:Dell Technologies 不為沒有有效支援合約的 Dell Technologies PowerEdge 伺服器提供技術支援。無論目前的支援合約狀態為何,客戶都可以存取 Dell 支援部門公開提供的支援文件。

問題:Dell Technologies 是否會為超出保固期的系統提供修補程式?
回答:Dell Technologies PowerEdge 伺服器產品不需要有效的支援合約,即可存取我們的支援和下載頁面。無論目前的支援合約狀態為何,Dell Technologies 支援網站上的所有使用者皆可使用 PowerEdge 伺服器 BIOS 更新。請參閱 BIOS 區段 BIOS/韌體/驅動程式更新,瞭解 PowerEdge 伺服器和網路產品的BIOS 可用性。作業系統修補程式應從您的作業系統供應商取得,請參閱「作業系統修補程式指引」一節中的連結。

問題:新的 AMD EPYC 處理器呢?
答案:有關 Meltdown (CVE-2017-5754) Spectre 變異 1 (CVE-2017-5753) 和 Spectre Variant 2 (CVE-2017-5715) 與 AMD 處理器相關之 AMD 公開聲明,請參閱HTTPs://www.amd.com/en/corporate/speculative-execution
針對 Spectre 變異 1 (CVE-2017-5753),適用的作業系統修補程式可解決此問題。

問題:受 Spectre 影響的 AMD EYPC 型 PowerEdge 系統,何時可以取得 BIOS 更新?
答案:Dell EMC 已發佈我們 14G 平台 (R7425、R7415 和 R6415) 的 BIOS 更新,這些更新可在我們的產品支援頁面上取得。這些 BIOS 的原廠安裝于 2018 年 1 月 17 日上市。

問題:何時會在 Intel 型 PowerEdge 系統上,進行搭配 Intel 微碼更新的 BIOS 原廠安裝?  
答案:PowerEdge 14G 和 13G (R930 除外) BIOS 預計于 2018 年 3 月 6 日出廠時提供。  PowerEdge R930 BIOS 預計于 2018 年 3 月 9 日之前使用原廠安裝。
問題:這些 BIOS 和作業系統更新是否會對效能造成影響?
回答:這些攻擊的關鍵方面仰賴與效能相關功能的臆測執行。效能影響因高度依賴工作負載而有所不同。Dell 正與 Intel 和其他廠商合作,判斷這些更新會對效能造成的影響,一旦推出即會解決此問題。

Cause

沒有可用的原因資訊。

Resolution

沒有可用的解決方案資訊。

Produse afectate

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Proprietăți articol
Article Number: 000178106
Article Type: Solution
Ultima modificare: 06 sept. 2023
Version:  11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.