Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

微处理器旁路漏洞(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754):对 Dell Technologies 服务器、存储和网络产品的影响

Samenvatting: Dell Technologies 针对服务器、存储和网络产品降低风险和解决边通道分析漏洞(也称为 Meltdown 和 Spectre)的指导。 有关受影响平台的特定信息以及应用更新的后续步骤,请参阅本指南。

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Symptomen

2018-11-21

CVE ID:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

2018 年 1 月 3 日,安全研究人员团队公开介绍了影响许多现代微处理器的边通道分析漏洞(也称为 Meltdown 和 Spectre) 。我们鼓励客户查看References(参考)部分中的Security Advisories(安全公告),了解详细信息。

提醒:修补程序指导(更新 2018-02-08):

根据 1 月 22 日发布的 公告 ,Dell Technologies 收到了来自 Intel 的新微码。Dell Technologies 将为受影响的平台发布新的 BIOS 更新,以解决 Spectre(变体 2)、CVE-2017-5715 的问题。产品已更新,并且还会更新,因为Intel发布了更多微代码。如果您的产品列出了更新的 BIOS,Dell Technologies 建议您升级到该 BIOS,并应用相应的操作系统更新以缓解 Meltdown 和 Spectre。

如果您的产品未列出更新的 BIOS,Dell Technologies 仍建议客户不要部署以前发布的 BIOS 更新并等待更新的版本。

如果您已根据 Intel 的 1 月 22 日公告部署了可能存在问题的 BIOS 更新,以避免不可预测的系统行为,您可以恢复到以前的 BIOS 版本。请查看下面的表格

在此提醒,操作系统修补程序不受影响,并且仍可缓解 Spectre(变体 1)和 Meltdown(变体 3)。只需为Spectre(变体2)CVE-2017-5715进行微代码更新。

  必须应用两个基本组件来缓解上述漏洞:

  1. 根据下面表格的系统BIOS
  2. 操作系统和虚拟机管理程序更新。
鼓励客户查看相应的虚拟机监控程序/操作系统供应商安全公告。下面的 References 部分包含指向其中一些供应商的链接。

Dell Technologies 建议客户遵循恶意软件防护的安全 最佳做法 ,以防止这些分析方法可能被利用,直到将来可以应用任何更新为止。这些做法包括立即采用软件更新、避免访问无法识别的超链接和网站、防止访问权限帐户以及遵循安全密码协议。
 

戴尔产品不需要针对这三种CVE漏洞的修补程序或 补丁程序


 
 
 
戴尔存储产品系列
估计
EqualLogic PS系列 本产品中使用的CPU不实施推测性执行,因此漏洞不适用于此硬件。
Dell EMC SC 系列 (Dell Compellent) 限制对平台操作系统加载外部代码的访问;无法运行恶意代码。
Dell Storage MD3和DSMS MD3系列 限制对平台操作系统加载外部代码的访问;无法运行恶意代码。
Dell PowerVault 磁带机和库 限制对平台操作系统加载外部代码的访问;无法运行恶意代码。
Dell Storage FluidFS 系列(包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) 对平台操作系统加载外部代码的访问仅限于特权帐户。
如果遵循防止访问权限帐户的建议最佳做法,则不能运行恶意代码。
 
 
 
 
Dell Storage基于虚拟化的应用方案
估计
Dell Storage Manager 虚拟设备 (DSM VA - Dell Compellent) 这些基于虚拟化的应用方案不提供常规用户访问。
它们是单用户、仅根用户,因此不会给环境带来任何额外的安全风险。
主机系统和虚拟机监控程序必须受到保护;参阅上面的供应商链接和最佳做法陈述。
 
适用于 VMware 的 Dell Storage Integration 工具 (Dell Compellent)
Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic)

PowerEdge服务器产品的系统管理
 
 
 
组件
估计
 iDRAC:14G、13G、12G、11G  
不受影响。
iDRAC 是不允许执行外部第三方代码的封闭式系统。
 Chassis Management Controller (CMC):14G、13G、12G、11G  
不受影响。
CMC 是不允许执行外部第三方代码的封闭式系统。
平台 估计
 
Dell 10Gb以太网直通
这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
Dell 10Gb-K以太网直通
Dell Ethernet Pass-Through
FC8直通
Force10 MXL刀片式服务器
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
平台 估计
 
Brocade M5424、M6505、M8428-k 供应商声明
Cisco Catalyst 3032、3130、3130G、3130X 供应商声明
Cisco Catalyst Nexus B22 Dell Blade Fabric Extender 供应商声明
平台 估计
 
C1048P、C9010

这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
M I/O聚合器
MXL
FX2
N11xx、N15xx、N20xx、N30xx、
N2128PX、N3128PX
S55、S60
S3048-On OS9、S3048-on OS10 Enterprise、S3100、S3124F、S3124P、S3148P
S4048、S4048-ON OS9、S4048-ON OS10 Enterprise、S4048T-ON OS9、S4048T-ON OS10 Enterprise
S4128F-ON、S4148F-ON、S4128T-ON、S4148T-ON、S4148U-ON、S4148FE-ON、S4148FB、S4248FBL
S5048、S5048F-ON、S5148F
S6000、S6000-ON OS9、S6010-ON OS9、S6010-ON OS10 Enterprise、S6100-ON
SIOM
Z9000、Z9100 OS9、Z9100 OS10 Enterprise
平台 估计
 
PowerConnect 2016、2124、2216、2224、2324、2508、2608、2616、2624

这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
PowerConnect 2708、2716、2724、2748、2808、2816、2824、2848
PowerConnect 3024、3048、3248、3324、3348
PowerConnect 3424、3424P、3448、3448P、3524、3524P、3548、3548P
PowerConnect 5012、5212、5224、5316M、5324、5424、5448、5524、5524P、5548、5548P
PowerConnect 6024、6024F、6224、6224F、6224P、6248、6248P
PowerConnect 7024、7024F、7024P、7048、7048P、7048R
PowerConnect 8024、8024F、8100 系列
PowerConnect B-8000、B-8000e、B-FCXs、B-T124X
PowerConnect J-EX4200、J-EX4200-24F、J-EX4200-24t、J-EX4200-48t、J-EX4500
PowerConnect J-SRX100、J-SRX210、SRX240
C9000系列线卡
平台 估计
 
Brocade 300、4424 Switch Fi、5100、5300 供应商声明
Brocade 6505、6510、6520、G620 供应商声明
Cisco Catalyst 3750E-48TD、4900M、4948-10GE 供应商声明
平台 估计
 
Active Fabric控制器 受影响的软件
Active Fabric Manager 受影响的软件
Dell Networking vCenter插件程序 受影响的软件
Dell OpenManage Network Manager 受影响的软件
Open Automation 受影响的软件
软件定义的网络 受影响的软件
 
提醒:下面的表格列出了有可用 BIOS/固件/驱动程序指导的产品。当有其他信息可用时,将更新此信息。如果您看不到您的平台,请稍后查看。

可以使用 iDRAC 更新服务器 BIOS,有关更多信息,请参阅戴尔知识库文章 如何使用 Integrated Dell Remote Access Controller (iDRAC) Web 界面或直接从 操作系统远程更新固件 ,或更多信息,请参阅戴尔知识库文章 Update a Dell PowerEdge Driver or Firmware Directly from the OS (Windows and Linux) (从操作系统(Windows 和 Linux)直接更新 Dell PowerEdge 驱动程序或固件 )
有关其他方法,请参阅戴尔知识库文章 Updating Firmware and Drivers on Dell PowerEdge Servers (更新Dell PowerEdge服务器上的固件和驱动程序)

这些是所需的最低 BIOS 版本。

PowerEdge服务器和网络产品的BIOS/固件/驱动程序更新


代系 型号 BIOS版本
14G R740、R740XD、R640、R940 XC740XD、XC640 1.3.7
R540、R440、T440、XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640、M640、M640P 1.3.7
C4140 1.1.6
R6415、R7415 1.0.9
R7425 1.0.9
代系 型号 BIOS版本
13G R830 1.7.1
T130、R230、T330、R330、NX430 2.4.3
R930 2.5.1
R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 2.7.1
C4130 2.7.1
M630、M630P、FC630 2.7.1
FC430 2.7.1
M830、M830P、FC830 2.7.1
T630 2.7.1
R530、R430、T430、XC430、XC430Xpress 2.7.1
R530XD 1.7.0
C6320、XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12
代系 型号 BIOS版本
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320、NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720、R720XD、NX3200、XC720XD 2.6.1
R620、NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220、C8220X 2.8.1
代系 型号 BIOS版本
11G R710 6.5.0
NX3000 6.6.0***
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 1.14.0***
R410 1.13.0
NX300 1.14.0***
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 1.14.0***
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610、M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
提醒:***仅在 11G NX 系列平台上使用非封装的更新来更新 BIOS。
型号 BIOS版本
DSS9600、DSS9620、DSS9630 1.3.7
DSS1500、DSS1510、DSS2500 2.7.1
DSS7500 2.7.1
型号 BIOS/固件/驱动程序版本
OS10 Basic虚拟机 在此过程中
OS10 Enterprise虚拟机 在此过程中
S操作系统仿真程序 在此过程中
Z操作系统仿真程序 在此过程中
S3048-ON OS10 Basic 在此过程中
S4048-ON OS10 Basic 在此过程中
S4048T-ON OS10 Basic 在此过程中
S6000-ON OS Basic 在此过程中
S6010-ON OS10 Basic 在此过程中
Z9100 OS10 Basic 在此过程中
 
网络 - 固定端口交换机
平台 BIOS/固件/驱动程序版本
Mellanox SB7800系列、SX6000系列 Mellanox 正在仔细调查已发布的修补程序,并将在可用时发布软件更新。供应商声明
型号 BIOS/固件/驱动程序版本
W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 链接 - 需要登录。
W-7005、W-7008、W-7010、W-7024、W-7030、W-7200系列、W-7205 链接 - 需要登录。
W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 链接 - 需要登录。
W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 链接 - 需要登录。
W-AP68、W-AP92、W-AP93、W-AP93H 链接 - 需要登录。
W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 链接 - 需要登录。
W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 链接 - 需要登录。
W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 链接 - 需要登录。
W系列接入点 - 205H、207、228、277、304、305、314、315、324、325、334、335 链接 - 需要登录。
W系列控制器AOS 链接 - 需要登录。
W系列FIPS 链接 - 需要登录。
型号 BIOS/固件/驱动程序版本
W-Airwave 链接 - 需要登录 - 确保虚拟机管理程序具有适当的修补程序。
W-ClearPass硬件设备 链接 - 需要登录。
W-ClearPass虚拟设备 链接 - 需要登录 - 确保虚拟机管理程序具有适当的修补程序。
W-ClearPass 100软件 链接 - 需要登录。

其它戴尔产品上的更新

外部参考

操作系统修补程序指南

性能链接


常见问题 (FAQ)

:如何能够防止这些漏洞?
:这三个漏洞与 Meltdown 和 Spectre 关联。对于所有三个漏洞,客户必须从其操作系统供应商部署操作系统修补程序。只有 Spectre 变体 2 (CVE-2017-5715) 需要使用处理器供应商提供的微码进行 BIOS 更新。目前,Intel 尚没有可用于防范 Spectre 变体 2 漏洞的微码更新。

请参阅下表:
 

修补程序变体

需要微代码更新?

需要操作系统修补程序?

Spectre(变体 1)
CVE-2017-5753

Spectre(变体 2)
CVE-2017-5715

Meltdown(变体 3)
CVE-2017-5754


:Dell Technologies 当前关于更新操作系统修补程序的建议是什么?
答案:请参阅操作系统供应商的修补程序指导链接。

:Dell Technologies 是否有不受影响的企业产品列表?
答案:Dell Technologies 拥有不受影响的企业产品列表。请参阅 “Dell Products 不需要针对这三个 CVE 漏洞进行修补或修复 ”部分。

问题:如果运行虚拟服务器,该怎么做?
:必须更新虚拟机管理程序和所有来宾操作系统。

问题:互联网浏览器是否可能受到影响?(JavaScript 变体 2 漏洞)?
:是的,Internet 浏览器可能会受到 Spectre 漏洞的影响,并且大多数浏览器都提供了更新的版本或修补程序来缓解此潜在漏洞。有关更多信息,请参阅下面的 Chrome、Internet Explorer 和 Mozilla 链接。

:iDRAC 和 PERC 是否受影响?
:PERC 和 iDRAC 都是不允许第三方(用户)代码运行的封闭系统。Spectre和Meltdown都需要能够在处理器上运行任意代码。由于此封闭代码安排,这两种外围设备都未处于旁路分析微处理器漏洞的风险之下。

问:一体机是否受影响?是否有其他应用程序不受影响?
答案:不允许第三方(用户)代码运行的封闭式系统不易受攻击。

问题:AMD Opteron 处理器是否受影响?
https://www.amd.com/en/corporate/speculative-execution
:Dell Technologies 何时会为基于英特尔的系统提供带有微码更新的 BIOS?
答案:包含 Intel 微码安全更新的更新 BIOS 可用于 PowerEdge 14G、13G、12G 和部分第 11 代系统。

:在 PowerEdge 技术(VXRail 等)
上运行的融合基础架构的 BIOS 何时可用? 答案:Dell Technologies 正在努力验证在 PowerEdge 技术上运行的所有融合基础架构平台的现有 PowerEdge 代码更新。当有其他信息可用时,将提供更新。

问题:Dell Technologies 是否会在工厂安装适用于 PowerEdge 服务器和融合基础架构的操作系统和虚拟机管理程序修补程序?
答案:自 2018 年 3 月 6 日起,戴尔正在工厂安装以下版本的操作系统更新,以帮助缓解 Spectre/Meltdown 漏洞。配置这些更新(若有可能)是为了实现最高的保护级别(完全启用)。有时,供应商会提供更新。  继续查看操作系统供应商网站,了解特定的配置指南以及更新和配置选项(可用时)。  
  • Windows Server 2016:KB4056890                (2018 年 1 月 4 日发布)
  • Red Hat Software Enterprise Linux 7.4:kernel-3.10.0-693.11.6.el7.x86_64 (2018 年 1 月 4 日发布)
  • SuSE Linux Enterprise Server 12 SP3:kernel-default-4.4.103-6.38.1.x86_64                (于2018年1月4日发布)
  • VMware ESXi 6.5U1:Rev A08 Build 7388607                (包含 VMSA-2018-002 修补程序)
  • VMware ESXi 6.0U3:Rev A08 Build 6921384                (包含 VMSA-2018-002 修补程序)

:我听说该漏洞会影响至少 10 年前的微处理器。戴尔提供多久以前的 BIOS 更新?
:戴尔正在与英特尔合作,为追溯到第 11 代产品线的 PowerEdge 系统提供所需的 BIOS 和微码修补程序。任何包含安全修复微码更新的 BIOS 更新将取决于向 Dell Technologies 提供代码更新的受影响的处理器供应商。

问题:Dell Technologies 是否会为超出保修期的系统提供技术支持?
答案:Dell Technologies 不为没有有效支持合同的 Dell Technologies PowerEdge 服务器提供技术支持。不管当前支持合同状态如何,客户都可访问戴尔支持网站上公开提供的支持文档。

:Dell Technologies 是否会为超出保修期的系统提供修补程序?
答案:Dell Technologies PowerEdge 服务器产品不需要有效的支持合同即可访问我们的支持和下载页面。无论当前支持合同状态如何,Dell Technologies 支持站点上的所有用户都可以使用 PowerEdge 服务器 BIOS 更新。有关 BIOS 可用性,请参阅 PowerEdge 服务器和网络产品的 BIOS/固件/驱动程序更新 部分。操作系统修补程序应从您的操作系统提供程序获取,请参阅 操作系统修补程序指南 部分中的链接。

问题:新的 AMD EPYC 处理器是否受影响?
:有关 Meltdown (CVE-2017-5754) Spectre 变体 1 (CVE-2017-5753) 和 Spectre 变体 2 (CVE-2017-5715) 与 AMD 处理器相关的 AMD 公开声明,请参 阅 https://www.amd.com/en/corporate/speculative-execution
对于 Spectre 变体 1 (CVE-2017-5753),适用的操作系统修补程序可解决此问题。

问题:何时提供受 Spectre 影响的基于 AMD EYPC 的 PowerEdge 系统的 BIOS 更新?
:Dell EMC 已为我们的 14G 平台(R7425、R7415 和 R6415)发布了 BIOS 更新,可在我们的产品支持页面上获取。这些 BIOS 的出厂安装于 2018 年 1 月 17 日提供。

问题:何时为基于英特尔的 PowerEdge 系统出厂安装包含英特尔微码更新的 BIOS?  
:PowerEdge 第 14 代和第 13 代(R930 除外)BIOS 将于 2018 年 3 月 6 日出厂安装。  PowerEdge R930 BIOS 计划于 2018 年 3 月 9 日之前通过出厂安装提供。
:这些 BIOS 和操作系统更新是否对性能产生影响?
答案:这些攻击的主要方面依赖于预测执行,这是一项与性能有关的特性。性能影响会有所不同,因为它们高度依赖于工作负载。戴尔正在与Intel和其他供应商合作,共同确定这些更新产生的性能影响并在可用时解决此问题。

Oorzaak

无可用的原因信息。

Oplossing

无可用的解决方案信息。

Getroffen producten

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Artikeleigenschappen
Artikelnummer: 000178106
Artikeltype: Solution
Laatst aangepast: 06 sep. 2023
Versie:  11
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.