Article Number: 000178082
Luki w zabezpieczeniach mikroprocesorów typu "side channel" (CVE-2018-3639 i CVE-2018-3640): Wpływ na serwery Dell EMC PowerEdge, pamięci masowe (serie SC, PS i PowerVault MD) oraz produkty sieciowe
Summary: Wytyczne firmy Dell EMC dotyczące ograniczania ryzyka i rozwiązywania problemów z lukami w zabezpieczeniach typu „side-channel” (znanych również jako Speculative Store Bypass i Rogue System Register Read) dla serwerów, pamięci masowych i produktów sieciowych. Szczegółowe informacje na temat platform, których dotyczy problem, i opis procedury instalacji aktualizacji można znaleźć w tym przewodniku. ...
Article Content
Symptoms
Identyfikator CVE 2018-11-09:
CVE-2018-3639, CVE-2018-3640
Firma Dell EMC jest świadoma luk w zabezpieczeniach typu "side-channel" opisanych w cve-2018-3639 (znanych również jako Speculative Store Bypass) i CVE-2018-3640 (znanych również jako Rogue System Register Read), wpływających na wiele nowoczesnych mikroprocesorów opublikowanych przez Google Project Zero i Microsoft Security Response Center 21 maja. 2018 r. Nieposiadająca uprawnień osoba atakująca z dostępem do systemu na poziomie użytkownika lokalnego może potencjalnie wykorzystać te luki do odczytania uprzywilejowanych danych z pamięci. Aby uzyskać więcej informacji, zapoznaj się z aktualizacjami zabezpieczeń opublikowanymi przez firmę Intel.
Firma Dell EMC bada wpływ tych problemów na nasze produkty. Będziemy regularnie aktualizować ten artykuł o szczegółowe informacje na temat wpływu i działań ograniczających zagrożenie, gdy staną się one dostępne. Czynności zapobiegawcze mogą różnić się w zależności od produktu i mogą wymagać aktualizacji mikrokodu procesora (BIOS), systemu operacyjnego (OS), programu Virtual Machine Manager (VMM) i innych komponentów oprogramowania.
Do czasu zastosowania przyszłych aktualizacji firma Dell EMC zaleca klientom przestrzeganie najlepszych praktyk dotyczących ochrony przed złośliwym oprogramowaniem w celu zapobiegania próbom wykorzystania tych luk w zabezpieczeniach. Praktyki te obejmują między innymi niezwłoczne wdrażanie aktualizacji oprogramowania, unikanie nieznanych łączy i stron internetowych, nigdy nie pobieranie plików lub aplikacji z nieznanych źródeł oraz aktualizowanie aktualnych programów antywirusowych i zaawansowanych rozwiązań ochrony przed zagrożeniami.
Serwery Dell EMC PowerEdge
Istnieją dwa podstawowe komponenty, które należy zastosować w celu wyeliminowania wspomnianych luk w zabezpieczeniach:
Tabele produktów zostały zaktualizowane i będą aktualizowane w miarę udostępniania kolejnych wersji mikrokodu przez firmę Intel. Jeśli zaktualizowano system BIOS na liście, firma Dell EMC zaleca uaktualnienie do tego systemu BIOS i zastosowanie odpowiednich poprawek systemu operacyjnego w celu ograniczenia zagrożeń dla wymienionych CVE.
Urządzenia hiperkonwergentne Dell EMC serii XC.
Zapoznaj się z tabelami produktów serwera PowerEdge.
Produkty Dell EMC Storage (z serii SC, PS i PowerVault MD)
Odpowiednie środki zaradcze i analizy można znaleźć w tabelach produktów.
Produkty sieciowe Dell EMC
Odpowiednie środki zaradcze i analizy można znaleźć w tabelach produktów.
Aby uzyskać informacje na temat innych produktów firmy Dell, zobacz: Wpływ luki w zabezpieczeniach „Speculative Store ByPass” (CVE-2018-3639, CVE-2018-3640) na produkty firmy Dell .
Uwaga: W poniższych tabelach przedstawiono listę produktów, dla których dostępne są instrukcje dotyczące systemu BIOS/ oprogramowania wewnętrznego / sterowników. Informacje te będą aktualizowane w miarę dostępności dodatkowych informacji. Jeśli nie widzisz platformy, sprawdź później.
System BIOS serwera można aktualizować za pomocą kontrolera iDRAC lub bezpośrednio z systemu operacyjnego. Dodatkowe metody przedstawiono w tym artykule.
Są to minimalne wymagane wersje systemu BIOS.
Zarządzanie systemami dla serwerów PowerEdge
Zaktualizuj system BIOS tylko przy użyciu aktualizacji bez pakietu na platformach z serii NX 11G.
CVE-2018-3639, CVE-2018-3640
Firma Dell EMC jest świadoma luk w zabezpieczeniach typu "side-channel" opisanych w cve-2018-3639 (znanych również jako Speculative Store Bypass) i CVE-2018-3640 (znanych również jako Rogue System Register Read), wpływających na wiele nowoczesnych mikroprocesorów opublikowanych przez Google Project Zero i Microsoft Security Response Center 21 maja. 2018 r. Nieposiadająca uprawnień osoba atakująca z dostępem do systemu na poziomie użytkownika lokalnego może potencjalnie wykorzystać te luki do odczytania uprzywilejowanych danych z pamięci. Aby uzyskać więcej informacji, zapoznaj się z aktualizacjami zabezpieczeń opublikowanymi przez firmę Intel.
Firma Dell EMC bada wpływ tych problemów na nasze produkty. Będziemy regularnie aktualizować ten artykuł o szczegółowe informacje na temat wpływu i działań ograniczających zagrożenie, gdy staną się one dostępne. Czynności zapobiegawcze mogą różnić się w zależności od produktu i mogą wymagać aktualizacji mikrokodu procesora (BIOS), systemu operacyjnego (OS), programu Virtual Machine Manager (VMM) i innych komponentów oprogramowania.
Do czasu zastosowania przyszłych aktualizacji firma Dell EMC zaleca klientom przestrzeganie najlepszych praktyk dotyczących ochrony przed złośliwym oprogramowaniem w celu zapobiegania próbom wykorzystania tych luk w zabezpieczeniach. Praktyki te obejmują między innymi niezwłoczne wdrażanie aktualizacji oprogramowania, unikanie nieznanych łączy i stron internetowych, nigdy nie pobieranie plików lub aplikacji z nieznanych źródeł oraz aktualizowanie aktualnych programów antywirusowych i zaawansowanych rozwiązań ochrony przed zagrożeniami.
Serwery Dell EMC PowerEdge
Istnieją dwa podstawowe komponenty, które należy zastosować w celu wyeliminowania wspomnianych luk w zabezpieczeniach:
1. System BIOS, jak podano w tabelach poniżej
2. Aktualizacje systemu operacyjnego i monitora maszyny wirtualnej.
2. Aktualizacje systemu operacyjnego i monitora maszyny wirtualnej.
Tabele produktów zostały zaktualizowane i będą aktualizowane w miarę udostępniania kolejnych wersji mikrokodu przez firmę Intel. Jeśli zaktualizowano system BIOS na liście, firma Dell EMC zaleca uaktualnienie do tego systemu BIOS i zastosowanie odpowiednich poprawek systemu operacyjnego w celu ograniczenia zagrożeń dla wymienionych CVE.
Urządzenia hiperkonwergentne Dell EMC serii XC.
Zapoznaj się z tabelami produktów serwera PowerEdge.
Produkty Dell EMC Storage (z serii SC, PS i PowerVault MD)
Odpowiednie środki zaradcze i analizy można znaleźć w tabelach produktów.
Produkty sieciowe Dell EMC
Odpowiednie środki zaradcze i analizy można znaleźć w tabelach produktów.
Aby uzyskać informacje na temat innych produktów firmy Dell, zobacz: Wpływ luki w zabezpieczeniach „Speculative Store ByPass” (CVE-2018-3639, CVE-2018-3640) na produkty firmy Dell .
Uwaga: W poniższych tabelach przedstawiono listę produktów, dla których dostępne są instrukcje dotyczące systemu BIOS/ oprogramowania wewnętrznego / sterowników. Informacje te będą aktualizowane w miarę dostępności dodatkowych informacji. Jeśli nie widzisz platformy, sprawdź później.
System BIOS serwera można aktualizować za pomocą kontrolera iDRAC lub bezpośrednio z systemu operacyjnego. Dodatkowe metody przedstawiono w tym artykule.
Są to minimalne wymagane wersje systemu BIOS.
Aktualizacje systemu BIOS / oprogramowania wewnętrznego / sterowników dla serwerów PowerEdge, pamięci (w tym platform pamięci masowej wykorzystywanych przez serwer) i produktów sieciowych
|
Linia produktów pamięci masowej Dell Storage
|
Ocena
|
| EqualLogic PS | Nie dotyczy. Zgłoszone problemy nie dotyczą procesora zastosowanego w produkcie. Procesor używany w procesorze Broadcom MIPS bez spekulatywnego wykonania. |
| Dell EMC SC (Compellent) | Brak dodatkowego zagrożenia dla bezpieczeństwa. Aby wykorzystać te luki, osoba atakująca musi najpierw mieć możliwość uruchomienia złośliwego kodu w systemie docelowym. Produkt został zaprojektowany, aby uniemożliwić użytkownikom wczytywanie i wykonywanie dowolnego zewnętrznego i/lub niezaufanego kodu w systemie. Zgłoszone problemy nie stwarzają żadnego dodatkowego ryzyka dla bezpieczeństwa produktu. |
| Dell Storage MD3 i DSMS MD3 | |
| Napędy taśmowe i biblioteki Dell PowerVault | |
| Pamięć masowa Dell serii FluidFS (obejmuje: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Brak dodatkowego zagrożenia dla bezpieczeństwa. Aby wykorzystać te luki, osoba atakująca musi najpierw mieć możliwość uruchomienia złośliwego kodu w systemie docelowym. Dostęp do produktu umożliwiający wczytanie zewnętrznego i/lub potencjalnie niezaufanego kodu jest ograniczony wyłącznie do użytkowników posiadających uprawnienia root lub ich odpowiedniki. Zgłoszone problemy nie powodują żadnego dodatkowego zagrożenia bezpieczeństwa dla produktu, o ile są przestrzegane zalecane i sprawdzone sposoby postępowania w celu ochrony dostępu do bardzo uprzywilejowanych kont. |
|
Urządzenie wirtualne Dell Storage
|
Ocena
|
| Urządzenie wirtualne Dell Storage Manager Virtual Appliance (DSM VA – Compellent) | Brak dodatkowego zagrożenia dla bezpieczeństwa. Aby wykorzystać te luki, osoba atakująca musi najpierw mieć możliwość uruchomienia złośliwego kodu w systemie docelowym. Dostęp do produktu umożliwiający wczytanie zewnętrznego i/lub potencjalnie niezaufanego kodu jest ograniczony wyłącznie do użytkowników posiadających uprawnienia root lub ich odpowiedniki. Zgłoszone problemy nie powodują żadnego dodatkowego zagrożenia bezpieczeństwa dla produktu, o ile są przestrzegane zalecane i sprawdzone sposoby postępowania w celu ochrony dostępu do bardzo uprzywilejowanych kont. W celu pełnego zabezpieczenia zaleca się zainstalowanie poprawki w środowisku wirtualnego hosta, w którym produkt zostaje wdrożony. |
| Narzędzia do integracji Dell Storage dla systemu VMWare (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM – EqualLogic) |
|
Linia produktów pamięci masowej Dell Storage
|
Ocena
|
| Rodzina Dell Storage NX | Dotknięty problemem. Informacje o poprawkach systemu BIOS można znaleźć w odpowiednich informacjach dotyczących serwera PowerEdge. Należy przestrzegać odpowiednich zaleceń producenta systemu operacyjnego w celu ograniczenia ryzyka niebezpieczeństwa. |
| Rodzina Dell Storage DSMS |
Zarządzanie systemami dla serwerów PowerEdge
|
Komponent
|
Ocena
|
|
Idrac: 14G, 13G, 12G, 11G
|
Nie dotyczy.
Aby wykorzystać te luki, osoba atakująca musi najpierw mieć możliwość uruchomienia złośliwego kodu w systemie docelowym. Produkt został zaprojektowany, aby uniemożliwić użytkownikom wczytywanie i wykonywanie dowolnego zewnętrznego i/lub niezaufanego kodu w systemie. Zgłoszone problemy nie stwarzają żadnego dodatkowego ryzyka dla bezpieczeństwa produktu. |
|
Kontroler zarządzania obudową (CMC): 14G, 13G, 12G, 11G
|
Nie dotyczy.
Aby wykorzystać te luki, osoba atakująca musi najpierw mieć możliwość uruchomienia złośliwego kodu w systemie docelowym. Produkt został zaprojektowany, aby uniemożliwić użytkownikom wczytywanie i wykonywanie dowolnego zewnętrznego i/lub niezaufanego kodu w systemie. Zgłoszone problemy nie stwarzają żadnego dodatkowego ryzyka dla bezpieczeństwa produktu. |
| Generacja | Modele | Wersja systemu BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Generacja | Modele | Wersja systemu BIOS |
| 12 G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Generacja | Modele | Wersja systemu BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6,6,0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | W toku | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Zaktualizuj system BIOS tylko przy użyciu aktualizacji bez pakietu na platformach z serii NX 11G.
| Modele | Wersja BIOS / oprogramowania wewnętrznego / sterownika |
| OS10 Basic VM | W toku |
| OS10 Enterprise VM | W toku |
| Emulator systemu operacyjnego S | W toku |
| Emulator systemu operacyjnego Z | W toku |
| S3048-ON OS10 Basic | W toku |
| S4048-ON OS10 Basic | W toku |
| S4048T-ON OS10 Basic | W toku |
| S6000-ON OS Basic | W toku |
| S6010-ON OS10 Basic | W toku |
| Z9100 OS10 Basic | W toku |
Sieć — przełączniki o stałej liczbie portów
| Platformy | Wersja BIOS / oprogramowania wewnętrznego / sterownika |
| Mellanox z serii SB7800, SX6000 | W toku |
| Modele | Wersja BIOS / oprogramowania wewnętrznego / sterownika |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | W toku |
| W-7005, W-7008, W-7010, W-7024, W-7030, seria W-7200, W-7205 | W toku |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | W toku |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | W toku |
| W-AP68, W-AP92, W-AP93, W-AP93H | W toku |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | W toku |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | W toku |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | W toku |
| Punkty dostępu serii W — 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | W toku |
| Kontroler serii W AOS | W toku |
| Seria W FIPS | W toku |
| Modele | Wersja BIOS / oprogramowania wewnętrznego / sterownika |
| W-Airwave | W toku — sprawdź, czy monitor maszyny wirtualnej ma odpowiednie poprawki. |
| Urządzenia W-ClearPass | W toku |
| Urządzenia wirtualne W-ClearPass | W toku — sprawdź, czy monitor maszyny wirtualnej ma odpowiednie poprawki. |
| Oprogramowanie W-ClearPass 100 | W toku |
Zewnętrzne źródła informacji
- Poradnik zabezpieczeń firmy Intel – Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft – ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft – ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Blog Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Wskazówki dla programistów dotyczące usterki Speculative Store Bypass: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Witryna Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Cause
-
Resolution
-
Article Properties
Affected Product
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Last Published Date
30 Aug 2023
Version
7
Article Type
Solution