Número del artículo: 000178082
Уязвимости микропроцесора при сторонних каналах (CVE-2018-3639 и CVE-2018-3640): Влияние на серверы Dell EMC PowerEdge, системы хранения (серии SC, PS и PowerVault серии MD) и сетевые продукты
Resumen: Указания Dell EMC по снижению риска и разрешению проблем уязвимостей, связанных с анализом сторонних каналов (известных как «Speculative Store Bypass» и «Rogue System Register Read»), для серверов, систем хранения данных и сетевых продуктов. Обратитесь к данному руководству для получения конкретной информации о затронутых платформах и следующих действиях по применению обновлений. ...
Contenido del artículo
Síntomas
2018-11-09
Идентификатор CVE: CVE-2018-3639, Специалистам Dell EMC CVE-2018-3640 известно об уязвимостях обходных каналов, описанных в
CVE-2018-3639 (также известном как Speculative Store Bypass) и CVE-2018-3640 (также известном как Rogue System Register Read), которые затрагивают многие современные микропроцессуатуры, опубликованные 21 мая в Google Project Zero и Microsoft Security Response Center. 2018 г. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации ознакомьтесь с обновлениями системы безопасности,опубликованной Intel .
Специалисты Dell EMC изучают влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению рисков могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), Virtual Machine Manager (VMM) и других программных компонентов.
Dell EMC рекомендует пользователям до выпуска новых обновлений следовать передовым практикам по обеспечению защиты от вредоносного ПО, чтобы предотвратить возможные атаке с использованием этих уязвимостей. К таким практикам относятся, в частности, быстрое развертывание обновлений ПО, предотвращение неизвестных гиперссыжек и веб-сайтов, никогда не скачивание файлов или приложений из неизвестных источников, а также использование актуальных антивирусных решений и решений для расширенной защиты от угроз.
Серверы Dell EMC PowerEdge
Чтобы устранить упомянутые выше уязвимости, необходимо применить два основных компонента:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если в списке продукта имеется обновленный BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС, чтобы обеспечить защиту от перечисленных CES.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов для серверов PowerEdge.
Системы хранения Dell EMC (серии SC, PS и PowerVault серии MD)
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Продукты Dell EMC Networking
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Сведения о других продуктах Dell см. в статье: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В таблицах ниже перечислены продукты, для которых доступны рекомендации по BIOS, микропрограммам и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, проверьте ее позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные способы приведены в этой статье.
Это минимальные необходимые версии BIOS.
Управление системами для серверных продуктов PowerEdge
Обновите BIOS только с помощью обновления без пакетов на платформах серии NX 11-го поколения.
Идентификатор CVE: CVE-2018-3639, Специалистам Dell EMC CVE-2018-3640 известно об уязвимостях обходных каналов, описанных в
CVE-2018-3639 (также известном как Speculative Store Bypass) и CVE-2018-3640 (также известном как Rogue System Register Read), которые затрагивают многие современные микропроцессуатуры, опубликованные 21 мая в Google Project Zero и Microsoft Security Response Center. 2018 г. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации ознакомьтесь с обновлениями системы безопасности,опубликованной Intel .
Специалисты Dell EMC изучают влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению рисков могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), Virtual Machine Manager (VMM) и других программных компонентов.
Dell EMC рекомендует пользователям до выпуска новых обновлений следовать передовым практикам по обеспечению защиты от вредоносного ПО, чтобы предотвратить возможные атаке с использованием этих уязвимостей. К таким практикам относятся, в частности, быстрое развертывание обновлений ПО, предотвращение неизвестных гиперссыжек и веб-сайтов, никогда не скачивание файлов или приложений из неизвестных источников, а также использование актуальных антивирусных решений и решений для расширенной защиты от угроз.
Серверы Dell EMC PowerEdge
Чтобы устранить упомянутые выше уязвимости, необходимо применить два основных компонента:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если в списке продукта имеется обновленный BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС, чтобы обеспечить защиту от перечисленных CES.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов для серверов PowerEdge.
Системы хранения Dell EMC (серии SC, PS и PowerVault серии MD)
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Продукты Dell EMC Networking
Соответствующие меры по смягчению последствий и анализ см. в таблицах продуктов.
Сведения о других продуктах Dell см. в статье: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В таблицах ниже перечислены продукты, для которых доступны рекомендации по BIOS, микропрограммам и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, проверьте ее позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные способы приведены в этой статье.
Это минимальные необходимые версии BIOS.
Обновление BIOS/микропрограммы/драйвера для серверов PowerEdge, системы хранения (включая используемые платформы хранения данных) и сетевых продуктов
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| EqualLogic серии PS | Не применимо. Используемый в продукте процессор не затронут обнаруженными проблемами. Используется процессор Broadcom MIPS без спекулятивного выполнения команд. |
| Dell EMC серии SC (Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Серия массивов хранения Dell MD3 и DSMS MD3 | |
| Ленточные накопители и библиотеки Dell PowerVault | |
| Системы хранения Dell серии FluidFS (включает: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. |
|
Dell Storage Virtual Appliance
|
Оценка
|
| Dell Storage Manager Virtual Appliance (DSM VA — Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. Рекомендуется установить исправления для виртуальной хост-среды, в которой устройство развернуто для полной защиты. |
| Dell Storage Integration Tools for VMware (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM — EqualLogic) |
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| Системы хранения Dell семейства NX | Затронуто. См. соответствующую информацию о сервере PowerEdge для сведений об исправлениях для BIOS. Следуйте рекомендациям по снижению риска на уровне ОС, предоставленным производителем соответствующей операционной системы. |
| Системы хранения Dell семейства DSMS |
Управление системами для серверных продуктов PowerEdge
|
Компонент
|
Оценка
|
|
Idrac: 14G, 13G, 12G, 11G
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
|
Контроллер Chassis Management Controller (CMC): 14G, 13G, 12G, 11G
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Поколение | Модели | Версия BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Поколение | Модели | Версия BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Поколение | Модели | Версия BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | В разработке | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Обновите BIOS только с помощью обновления без пакетов на платформах серии NX 11-го поколения.
| Модели | Версия BIOS/микропрограммы/драйвера |
| ВМ OS10 Basic | В разработке |
| ВМ OS10 Enterprise | В разработке |
| Эмулятор ОС S | В разработке |
| Эмулятор ОС Z | В разработке |
| S3048-ON OS10 Basic | В разработке |
| S4048-ON OS10 Basic | В разработке |
| S4048T-ON OS10 Basic | В разработке |
| S6000-ON OS Basic | В разработке |
| S6010-ON OS10 Basic | В разработке |
| Z9100 OS10 Basic | В разработке |
Сеть — коммутаторы фиксированных портов
| Платформы | Версия BIOS/микропрограммы/драйвера |
| Mellanox серии SB7800, серии SX6000 | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | В разработке |
| W-7005, W-7008, W-7010, W-7024, W-7030, серия W-7200, W-7205 | В разработке |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | В разработке |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | В разработке |
| W-AP68, W-AP92, W-AP93, W-AP93H | В разработке |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | В разработке |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | В разработке |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | В разработке |
| Точки доступа серии W — 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | В разработке |
| W-Series Controller AOS | В разработке |
| W-Series FIPS | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-Airwave | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Аппаратные устройства W-ClearPass | В разработке |
| Виртуальные устройства W-ClearPass | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Программное обеспечение W-ClearPass 100 | В разработке |
Внешние ссылки
- Советы по безопасности Intel — Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft — ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft — ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Блог Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Руководство для разработчиков по проблеме обхода спекулятивного хранения: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Сайт Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Causa
-
Resolución
-
Propiedades del artículo
Producto comprometido
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Fecha de la última publicación
30 ago 2023
Versión
7
Tipo de artículo
Solution