Número del artículo: 000178082
微處理器旁路漏洞 (CVE-2018-3639 和 CVE-2018-3640):對 Dell EMC PowerEdge 伺服器、儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 和 Networking 產品的影響
Resumen: 降低旁路分析漏洞 (又稱為 Speculative Store Bypass 和離群系統註冊讀取) 伺服器、儲存裝置和 Networking 產品風險,並提供解決方法的 Dell EMC 指導方針。如需受影響平台的特定資訊,以及套用更新的後續步驟,請參閱本指南。
Contenido del artículo
Síntomas
2018-11-09
CVE ID:CVE-2018-3639、CVE-2018-3640
Dell EMC 知道 CVE-2018-3639 (又稱為 Speculative Store Bypass) 和 CVE-2018-3640 (又稱為離群系統註冊讀取) 所述的旁路漏洞,這些漏洞影響到 Google Project Zero 和 Microsoft 安全回應中心於 2018 年 5 月 21 日發佈的許多現代微處理器。具有本機使用者存取權但沒有高權限的攻擊者,可能會利用這些漏洞讀取高權限的記憶體資料。如需詳細資訊,請檢閱 Intel 發佈的安全性更新。
Dell EMC 正在調查這些問題對我們產品的影響。若有適用的影響詳細資料和緩解步驟,我們會定期更新這篇文章。緩解步驟可能因產品而異,可能需要更新處理器微碼 (BIOS)、作業系統 (OS)、Virtual Machine Manager (VMM) 及其他軟體元件。
Dell EMC 建議客戶遵循惡意程式保護的安全性最佳實務,以避免有人可能利用這些漏洞,直到未來可以套用任何更新為止。這些做法包括但不限於及時部署軟體更新、避免不明的超連結和網站、拒絕從不明來源下載檔案或應用程式,以及採用最新的防毒和進階威脅保護解決方案。
Dell EMC PowerEdge 伺服器
必須套用兩個基本元件,以緩解上述漏洞:
產品表格已更新,並將在 Intel 發佈微碼時進行更新。如果您的產品已列出更新的 BIOS,Dell EMC 建議您升級至該 BIOS,並套用適當的作業系統修補程式,以便針對列出的 CVE 提供緩解措施。
Dell EMC XC 系列超融合應用裝置。
請參閱 PowerEdge 伺服器產品表格。
Dell EMC 儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 產品
請參閱產品表格以瞭解適當的緩解措施與分析。
Dell EMC Networking 產品
請參閱產品表格,瞭解適當的緩解措施與分析。
如需其他 Dell 產品的資訊,請參閱:《Speculative Store ByPass (CVE-2018-3639、CVE-2018-3640) 對 Dell 產品的影響》(英文版) 。
備註:下表列出備有 BIOS/韌體/驅動程式指引的產品。有其他資訊可用時,這些資訊也會更新。如果您看不到平台,請稍後再查看。
伺服器 BIOS 可以使用 iDRAC或直接從作業系統更新。這篇文章提供其他方法。
這些是必要的 BIOS 最低版本。
PowerEdge 伺服器產品的系統管理
***在 11G NX 系列平台上只能使用非套裝更新來更新 BIOS。
CVE ID:CVE-2018-3639、CVE-2018-3640
Dell EMC 知道 CVE-2018-3639 (又稱為 Speculative Store Bypass) 和 CVE-2018-3640 (又稱為離群系統註冊讀取) 所述的旁路漏洞,這些漏洞影響到 Google Project Zero 和 Microsoft 安全回應中心於 2018 年 5 月 21 日發佈的許多現代微處理器。具有本機使用者存取權但沒有高權限的攻擊者,可能會利用這些漏洞讀取高權限的記憶體資料。如需詳細資訊,請檢閱 Intel 發佈的安全性更新。
Dell EMC 正在調查這些問題對我們產品的影響。若有適用的影響詳細資料和緩解步驟,我們會定期更新這篇文章。緩解步驟可能因產品而異,可能需要更新處理器微碼 (BIOS)、作業系統 (OS)、Virtual Machine Manager (VMM) 及其他軟體元件。
Dell EMC 建議客戶遵循惡意程式保護的安全性最佳實務,以避免有人可能利用這些漏洞,直到未來可以套用任何更新為止。這些做法包括但不限於及時部署軟體更新、避免不明的超連結和網站、拒絕從不明來源下載檔案或應用程式,以及採用最新的防毒和進階威脅保護解決方案。
Dell EMC PowerEdge 伺服器
必須套用兩個基本元件,以緩解上述漏洞:
產品表格已更新,並將在 Intel 發佈微碼時進行更新。如果您的產品已列出更新的 BIOS,Dell EMC 建議您升級至該 BIOS,並套用適當的作業系統修補程式,以便針對列出的 CVE 提供緩解措施。
Dell EMC XC 系列超融合應用裝置。
請參閱 PowerEdge 伺服器產品表格。
Dell EMC 儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 產品
請參閱產品表格以瞭解適當的緩解措施與分析。
Dell EMC Networking 產品
請參閱產品表格,瞭解適當的緩解措施與分析。
如需其他 Dell 產品的資訊,請參閱:《Speculative Store ByPass (CVE-2018-3639、CVE-2018-3640) 對 Dell 產品的影響》(英文版) 。
備註:下表列出備有 BIOS/韌體/驅動程式指引的產品。有其他資訊可用時,這些資訊也會更新。如果您看不到平台,請稍後再查看。
伺服器 BIOS 可以使用 iDRAC或直接從作業系統更新。這篇文章提供其他方法。
這些是必要的 BIOS 最低版本。
PowerEdge 伺服器、儲存裝置 (包括伺服器已利用的儲存平台) 和 Networking 產品的 BIOS/韌體/驅動程式更新
|
Dell Storage 產品線
|
評估
|
| EqualLogic PS 系列 | 不適用。 所回報的問題不會影響產品中使用的 CPU。使用的 CPU 是 Broadcom MIPS 處理器,沒有推測執行。 |
| Dell EMC SC 系列 (Compellent) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
| Dell Storage MD3 和 DSMS MD3 系列 | |
| Dell PowerVault 磁帶機與程式庫 | |
| Dell Storage FluidFS 系列 (包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。只有具有根或等同於根權限的使用者才可存取產品,以載入外部和/或可能不受信任的程式碼。所報告的問題不會對產品造成任何其他安全性風險,前提是遵循保護高權限帳戶存取權的建議最佳實務。 |
|
Dell Storage 虛擬裝置
|
評估
|
| Dell Storage Manager 虛擬裝置 (DSM VA - Compellent) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。只有具有根或等同於根權限的使用者才可存取產品,以載入外部和/或可能不受信任的程式碼。所報告的問題不會對產品造成任何其他安全性風險,前提是遵循保護高權限帳戶存取權的建議最佳實務。強烈建議客戶修補部署產品的虛擬主機環境,以獲得完整的保護。 |
| 適用於 VMWare (Compellent) 的 Dell Storage 整合工具 | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Dell Storage 產品線
|
評估
|
| Dell Storage NX 系列 | 受影響。 如需 BIOS 修補程式資訊,請參閱相關的 PowerEdge 伺服器資訊。請遵循相關的作業系統廠商建議,進行作業系統層級遷移。 |
| Dell Storage DSMS 系列 |
PowerEdge 伺服器產品的系統管理
|
元件
|
評估
|
|
iDRAC:14G、13G、12G、11G
|
不受影響。
若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
|
機箱管理控制器 (CMC):14G、13G、12G、11G
|
不受影響。
若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
| 世代 | 型號 | BIOS 版本 |
| 13G | R830 | 1.8.0 |
| T130、R230、T330、R330、NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630、M630P、FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830、M830P、FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530、R430、T430、XC430、XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320、XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| 世代 | 型號 | BIOS 版本 |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610、M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | 處理中 | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
***在 11G NX 系列平台上只能使用非套裝更新來更新 BIOS。
| 型號 | BIOS/韌體/驅動程式版本 |
| OS10 Basic VM | 處理中 |
| OS10 Enterprise VM | 處理中 |
| S OS-Emulator | 處理中 |
| Z OS-Emulator | 處理中 |
| S3048-ON OS10 Basic | 處理中 |
| S4048-ON OS10 Basic | 處理中 |
| S4048T-ON OS10 Basic | 處理中 |
| S6000-ON OS Basic | 處理中 |
| S6010-ON OS10 Basic | 處理中 |
| Z9100 OS10 Basic | 處理中 |
網路 - 固定連接埠交換器
| 平台 | BIOS/韌體/驅動程式版本 |
| Mellanox SB7800 系列、SX6000 系列 | 處理中 |
| 型號 | BIOS/韌體/驅動程式版本 |
| W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 | 處理中 |
| W-7005、W-7008、W-7010、W-7024、W-7030、W-7200 系列、W-7205 | 處理中 |
| W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 | 處理中 |
| W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 | 處理中 |
| W-AP68、W-AP92、W-AP93、W-AP93H | 處理中 |
| W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 | 處理中 |
| W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 | 處理中 |
| W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 | 處理中 |
| W 系列存取點 - 205H、207、228、277、304、305、314、315、324、325、334、335 | 處理中 |
| W 系列控制器 AOS | 處理中 |
| W 系列 FIPS | 處理中 |
| 型號 | BIOS/韌體/驅動程式版本 |
| W-Airwave | 處理中 - 確保 Hypervisor 有適當的修補程式。 |
| W-ClearPass 硬體應用裝置 | 處理中 |
| W-ClearPass 虛擬應用裝置 | 處理中 - 確保 Hypervisor 有適當的修補程式。 |
| W-ClearPass 100 軟體 | 處理中 |
外部參考資料
- Intel 安全性公告 - Intel-SA-00115:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012、CVE-2018-3639:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013、CVE-2018-3640:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Microsoft Security Research and Defense 部落格:https://aka.ms/sescsrdssb
- Spectulative Store Bypass 開發人員指南:https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Microsoft Azure 可靠性網站:https://aka.ms/azurereliability
- VMWare:https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe:https://www.suse.com/support/kb/doc/?id=7022937
- RedHat:https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Causa
-
Resolución
-
Propiedades del artículo
Producto comprometido
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Fecha de la última publicación
30 ago 2023
Versión
7
Tipo de artículo
Solution