知识库

微处理器边信道攻击(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754):对Dell EMC产品(戴尔企业服务器、存储和网络)造成的影响


2018-05-30

CVE ID:CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

2018年1月3日,安全研究人员团队公开了边信道分析漏洞(也称为Meltdown和Spectre),Dell EMC已经意识到此次攻击对许多现代微处理器造成了影响。我们鼓励客户查看References(参考)部分中的Security Advisories(安全公告),了解详细信息。

修补程序指南(更新2018-02-08):

Dell EMC已根据1月22日发布的公告从Intel收到新微代码。Dell EMC正在为受影响的平台发布新BIOS更新以解决Spectre(变体2)CVE-2017-5715。产品已更新,并且还会更新,因为Intel发布了更多微代码。如果您的产品列出了更新的BIOS,Dell EMC建议您升级到该BIOS,并应用合适的操作系统修补程序以缓解Meltdown和Spectre。
 
如果您的产品未列出更新的BIOS,Dell EMC仍建议客户不要部署之前发布的BIOS更新,而是等待更新的版本。

如果您已部署可能有问题(据Intel 1月22日的公告)的BIOS更新,为了避免不可预测的系统行为,可恢复到以前的BIOS版本。请参阅下面的

在此提醒,操作系统修补程序不受影响,并且仍可缓解Spectre(变体1)和Meltdown(变体3)。只需为Spectre(变体2)CVE-2017-5715进行微代码更新。

  需要应用两种基本组件以缓解上述漏洞的风险:

  1. 根据下面表格的系统BIOS
  2. 操作系统和虚拟机监控程序更新。
鼓励客户查看相应的虚拟机监控程序/操作系统供应商安全公告。下面的References(参考)部分包含其中一些供应商的链接。

在能够应用将来的更新之前,Dell EMC建议客户遵循恶意软件保护的安全最佳做法,从而防止出现这些分析方法可能被利用的情况。这些做法包括立即采用软件更新、避免访问无法识别的超链接和网站、防止访问权限帐户以及遵循安全密码协议。
 

戴尔产品不需要针对这三种CVE漏洞的修补程序或 补丁程序


戴尔存储产品系列
估计
EqualLogic PS系列 本产品中使用的CPU不实施推测性执行,因此漏洞不适用于此硬件。
Dell EMC SC系列(Compellent) 禁止访问平台操作系统以加载外部代码;不能运行恶意代码。
Dell Storage MD3和DSMS MD3系列 禁止访问平台操作系统以加载外部代码;不能运行恶意代码。
Dell PowerVault磁带机和磁带库 禁止访问平台操作系统以加载外部代码;不能运行恶意代码。
Dell Storage FluidFS系列(包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) 仅对权限帐户禁止访问平台操作系统以加载外部代码。
如果遵循防止访问权限帐户的建议最佳做法,则不能运行恶意代码。
 
Dell Storage基于虚拟化的应用方案
估计
Dell Storage Manager基于虚拟化的应用方案(DSM VA - Compellent) 这些基于虚拟化的应用方案不提供常规用户访问。 
它们是单用户、仅根用户,因此不会给环境带来任何额外的安全风险。 
主机系统和虚拟机监控程序必须受到保护;参阅上面的供应商链接和最佳做法陈述。
 
面向VMWare的Dell Storage Integration工具(Compellent)
Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic)

PowerEdge服务器产品的系统管理
组件
估计
 iDRAC:14G、13G、12G、11G  
不受影响。
iDRAC是不允许执行外部第三方代码的封闭系统。
 机箱管理控制器(CMC):14G、13G、12G、11G  
不受影响。
CMC是不允许执行外部第三方代码的封闭系统。
平台 估计
 
Dell 10Gb以太网直通
这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
Dell 10Gb-K以太网直通
Dell以太网直通
FC8直通
Force10 MXL刀片式服务器
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
平台 估计
 
Brocade M5424、M6505、M8428-k 供应商声明
Cisco Catalyst 3032、3130、3130G、3130X 供应商声明
Cisco Catalyst Nexus B22 Dell Blade Fabric Extender 供应商声明
Mellanox M2401G、M361Q、M4001F Fi 供应商声明
平台 估计
 
C1048P、C9010

这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
M I/O聚合器
MXL
FX2
N11xx、N15xx、N20xx、N30xx、
N2128PX、N3128PX
Navasota
S55、S60
S3048-On OS9、S3048-on OS10 Enterprise、S3100、S3124F、S3124P、S3148P
S4048、S4048-ON OS9、S4048-ON OS10 Enterprise、S4048T-ON OS9、S4048T-ON OS10 Enterprise
S4128F-ON、S4148F-ON、S4128T-ON、S4148T-ON、S4148U-ON、S4148FE-ON、S4148FB、S4248FBL
S5048、S5048F-ON、S5148F
S6000、S6000-ON OS9、S6010-ON OS9、S6010-ON OS10 Enterprise、S6100-ON
SIOM
Z9000、Z9100 OS9、Z9100 OS10 Enterprise
平台 估计
 
PowerConnect 2016、2124、2216、2224、2324、2508、2608、2616、2624

这些产品是仅限单个root用户使用的设备。只要遵循建议的最佳做法来保护高特权帐户的访问权限,所报告的问题就不会给客户的环境带来任何附加的安全风险。
PowerConnect 2708、2716、2724、2748、2808、2816、2824、2848
PowerConnect 3024、3048、3248、3324、3348
PowerConnect 3424、3424P、3448、3448P、3524、3524P、3548、3548P
PowerConnect 5012、5212、5224、5316M、5324、5424、5448、5524、5524P、5548、5548P
PowerConnect 6024、6024F、6224、6224F、6224P、6248、6248P
PowerConnect 7024、7024F、7024P、7048、7048P、7048R
PowerConnect 8024、8024F、8100 系列
PowerConnect B-8000、B-8000e、B-FCXs、B-T124X
PowerConnect J-EX4200、J-EX4200-24F、J-EX4200-24t、J-EX4200-48t、J-EX4500
PowerConnect J-SRX100、J-SRX210、SRX240
C9000系列线卡
平台 估计
 
Brocade 300、4424 Switch Fi、5100、5300 供应商声明
Brocade 6505、6510、6520、G620 供应商声明
Cisco Catalyst 3750E-48TD、4900M、4948-10GE 供应商声明
平台 估计
 
Active Fabric控制器 受影响的软件
Active Fabric Manager 受影响的软件
Dell Networking vCenter插件程序 受影响的软件
Dell OpenManage Network Manager 受影响的软件
HiveManager NG 无需采取任何缓解措施;供应商声明
Open Automation 受影响的软件
软件定义的网络 受影响的软件



注:下面的表格列出了有可用BIOS/固件/驱动程序指导的产品。当存在其它可用信息时,我们会对此信息进行更新。如果没看到您的平台,请稍后检查。

服务器BIOS可使用iDRAC更新或直接从操作系统更新。本提供了更多方法。

这些是需要的最低BIOS版本。

PowerEdge服务器和网络产品的BIOS/固件/驱动程序更新


版本 型号 BIOS版本
14G R740、R740XD、R640、R940 XC740XD、XC640 1.3.7
R540、R440、T440、XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640、M640、M640P 1.3.7
C4140 1.1.6
R6415、R7415 1.0.9
R7425 1.0.9
版本 型号 BIOS版本
13G R830 1.7.1
T130、R230、T330、R330、NX430 2.4.3
R930 2.5.1
R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 2.7.1
C4130 2.7.1
M630、M630P、FC630 2.7.1
FC430 2.7.1
M830、M830P、FC830 2.7.1
T630 2.7.1
R530、R430、T430、XC430、XC430Xpress 2.7.1
R530XD 1.7.0
C6320、XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12
版本 型号 BIOS版本
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320、NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720、R720XD、NX3200 2.6.1
R620、NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220、C8220X 2.8.1
版本 型号 BIOS版本
11G R710 6.5.0
NX3000 处理中
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 处理中
R410 1.13.0
NX300 处理中
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 处理中
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610、M610X 6.5.0
M710 6.5.0
M710HD 8.2.0
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
型号 BIOS版本
DSS9600、DSS9620、DSS9630 1.3.7
DSS1500、DSS1510、DSS2500 2.7.1
DSS7500 2.7.1
型号 BIOS/固件/驱动程序版本
OS10 Basic虚拟机 处理中
OS10 Enterprise虚拟机 处理中
S操作系统仿真程序 处理中
Z操作系统仿真程序 处理中
S3048-ON OS10 Basic 处理中
S4048-ON OS10 Basic 处理中
S4048T-ON OS10 Basic 处理中
S6000-ON OS Basic 处理中
S6010-ON OS10 Basic 处理中
Z9100 OS10 Basic 处理中
 
网络 - 固定端口交换机
平台 BIOS/固件/驱动程序版本
Mellanox SB7800系列、SX6000系列 Mellanox仔细调查已发布的修补程序,并会在软件更新可用时尽快发布。供应商声明
型号 BIOS/固件/驱动程序版本
W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 链路- 需要登录
W-7005、W-7008、W-7010、W-7024、W-7030、W-7200系列、W-7205 链路- 需要登录
W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 链路- 需要登录
W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 链路- 需要登录
W-AP68、W-AP92、W-AP93、W-AP93H 链路- 需要登录
W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 链路- 需要登录
W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 链路- 需要登录
W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 链路- 需要登录
W系列接入点 - 205H、207、228、277、304、305、314、315、324、325、334、335 链路- 需要登录
W系列控制器AOS 链路- 需要登录
W系列FIPS 链路- 需要登录
型号 BIOS/固件/驱动程序版本
W-Airwave 链路- 需要登录 - 请确保虚拟机监控程序具有相应的修补程序。
W-ClearPass硬件设备 链路- 需要登录
W-ClearPass虚拟设备 链路- 需要登录 - 请确保虚拟机监控程序具有相应的修补程序。
W-ClearPass 100软件 链路- 需要登录


其它戴尔产品上的更新

外部参考

操作系统修补程序指南

性能链接



常见问题(FAQ)


问题:如何能够防止这些漏洞?
答案:这三个漏洞与Meltdown和Spectre关联。客户必须从其操作系统供应商部署所有三个漏洞的操作系统修补程序。仅Spectre变体2 (CVE-2017-5715)需要包含处理器供应商提供的微代码的BIOS更新。目前,Intel还没有微代码更新可用于防止Spectre变体2漏洞。

请参阅下表:
 

修补程序变体

需要微代码更新?

需要操作系统修补程序?

Spectre(变体1)
CVE-2017-5753

Spectre(变体2)
CVE-2017-5715

Meltdown(变体3)
CVE-2017-5754


问题:Dell EMC当前对更新操作系统修补程序有何建议?
答案:请参阅操作系统供应商修补程序指南链接。

问题:Dell EMC是否有不受影响的企业产品列表?
答案:Dell EMC有目前不受影响的企业产品列表 - 参见此处

问题:如果运行虚拟服务器,该怎么做?
答案:虚拟机监控程序和所有来宾操作系统都需要修补程序。

问题:互联网浏览器是否可能受影响?(JavaScript变体2漏洞)?
答案:是的,互联网浏览器可能受到Spectre漏洞的影响,但大多数浏览器已提供更新版本或修补程序来缓解此潜在漏洞。对于Chrome、Internet Explorer和Mozilla,请参阅下面的链接了解更多信息。

问题:iDRAC和PERC怎么样?
答案:PERC和iDRAC都是不允许第三方(用户)代码运行的封闭系统。Spectre和Meltdown都需要能够在处理器上运行任意代码。由于此封闭代码安排,两个外围设备都未处于边信道分析微处理器漏洞的风险之下。

问题:设备怎么样?是否有其它应用程序未受到影响?
答案:不允许第三方(用户)代码运行的封闭系统不易受到攻击。

问题:AMD Opteron处理器怎么样?
答案https://www.amd.com/en/corporate/speculative-execution
问题:Dell EMC何时为基于Intel的系统提供包含微代码更新的BIOS?
答案:包含Intel微代码安全更新的已更新BIOS可用于PowerEdge 14G、13G、12G和部分11G系统。
  • 请在此处查阅BIOS更新的适用PowerEdge 11G、12G、13G和14G列表。
  •  其余的11G更新目前也正在开发当中,时间将在更接近此时间确认。
  • PowerEdge系统的可用BIOS更新的完整列表将在此处提供。此列表在额外BIOS版本可用时持续更新,鼓励客户将此页面加入书签。

问题:BIOS何时可用于采用PowerEdge技术(VXRail等)运行的融合基础架构
答案:Dell EMC正在努力为采用PowerEdge技术运行的所有融合基础架构平台验证现有PowerEdge代码更新。当存在其它信息时,将提供更新。

问题:Dell EMC是否会在工厂为PowerEdge服务器和融合基础架构安装操作系统和虚拟机监控程序修补程序?
回答:从2018年3月6日开始,戴尔会出厂安装以下版本的操作系统更新来帮助降低Spectre/Meltdown攻击风险。  配置这些更新(若有可能)是为了实现最高的保护级别(完全启用)。  在某些情况下,供应商会提供较新的更新。  请继续参阅操作系统供应商的网站以了解特定配置指导并获得较新的更新和配置选项(当它们可用时)。  
  • Windows Server 2016:KB4056890                (于2018年1月4日发布)
  • RedHat Enterprise Linux 7.4:kernel-3.10.0-693.11.6.el7.x86_64               (于2018年1月4日发布)
  • SuSE Linux Enterprise Server 12 SP3:kernel-default-4.4.103-6.38.1.x86_64                (于2018年1月4日发布)
  • VMware ESXi 6.5U1:版本A08内部版本7388607                (包含VMSA-2018-002修补程序)
  • VMWare ESXi 6.0U3:版本A08内部版本6921384                (包含VMSA-2018-002修补程序)

问题:我听说此漏洞至少影响10年前的微处理器。戴尔多久以前提供BIOS更新?
答案:戴尔正在与Intel合作,为追溯到11代产品系列的PowerEdge系统提供所需的BIOS和微代码修补程序。包含安全修补程序的微代码更新的任何BIOS更新都将取决于为Dell EMC提供代码更新的受影响的处理器供应商。

问题:Dell EMC是否为超出保修期的系统提供技术支持?
答案:Dell EMC不为没有有效支持合同的Dell EMC PowerEdge服务器提供技术支持。不管当前支持合同状态如何,客户都可访问support.dell.com上公开提供的支持文档。

问题:Dell EMC是否为超出保修期的系统提供修补程序?
答案:Dell EMC PowerEdge服务器产品不需要有效支持合同,也可以访问我们的支持和下载页面。不管当前支持合同状态如何,Dell EMC支持网站上都会提供PowerEdge服务器BIOS更新。有关BIOS可用性,请参阅此处的BIOS部分。应从操作系统提供商处获取操作系统修补程序 - 链接在此处

问题:新的AMD EPYC处理器怎么样?
答案:有关Meltdown (CVE-2017-5754) Spectre变体1 (CVE-2017-5753)和Spectre变体2 (CVE-2017-5715)(与AMD处理器有关)的AMD公开声明,请参阅https://www.amd.com/en/corporate/speculative-execution
对于Spectre变体1 (CVE-2017-5753),适用的操作系统修补程序将解决此问题。

问题:BIOS更新何时可用于受Spectre影响的基于AMD EYPC的PowerEdge系统?
答案:Dell EMC已为我们的14G平台(R7425、R7415和R6415)发布BIOS更新,可在我们的产品支持页面上获取。这些BIOS的出厂安装在2018年1月17日提供。

问题:何时为基于Intel的PowerEdge系统出厂安装包含Intel微代码更新的BIOS?  
回答:PowerEdge 14G和13G(R930除外)BIOS计划在2018年3月6日通过出厂安装提供。  PowerEdge R930 BIOS计划在2018年3月9日通过出厂安装提供。
问题:这些BIOS和操作系统更新对性能有没有影响?
答案:这些攻击的主要方面依赖于推测性执行,这是一项与性能有关的特性。性能影响将各不相同,因为它们在很大程度上取决于工作负载。戴尔正在与Intel和其他供应商合作,共同确定这些更新产生的性能影响并在可用时解决此问题。



Need more help?
Find additional PowerEdge and PowerVault articles

Visit and ask for support in our Communities

Create an online support Request


 

文章ID: SLN308588

上次修改日期: 2018/06/22 16:52


评价此文章

准确性
有用性
易理解性
这篇文章对您有帮助吗?
向我们发送反馈
注释中不得包含以下特殊字符:<>()\
抱歉,我们的反馈系统目前发生故障。请稍后重试。

感谢您提供反馈。