Vulnerabilidades del canal lateral del microprocesador (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): afecta los productos Dell EMC (servidores, almacenamiento y redes de Dell Enterprise)

Vulnerabilidades del canal lateral del microprocesador (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): afecta los productos Dell EMC (servidores, almacenamiento y redes de Dell Enterprise)


30-05-2018

ID de CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Dell está al tanto de las vulnerabilidades de análisis del canal lateral (también conocidas como Meltdown y Spectre), que afectan a muchos microprocesadores modernos y que un equipo de investigadores de seguridad describió públicamente el 3 de enero de 2018. Alentamos a nuestros clientes a revisar los avisos de seguridad en la sección Referencias para obtener más información.

Orientación de parches (actualización 08-02-2018):

Dell EMC recibió un nuevo microcódigo de Intel según su aviso publicado el 22 enero. Dell EMC está emitiendo nuevas actualizaciones de BIOS para las plataformas afectadas para abordar Spectre (Variante 2), CVE-2017-5715. El producto tablas se actualizó y se actualizará a medida que Intel publique más microcódigos. Si su producto tiene en la lista un BIOS actualizado, Dell EMC le recomienda actualizar a dicho BIOS y aplicar los parches correspondientes del sistema operativo para proporcionar mitigación contra Meltdown and Spectre.
 
Si su producto no tiene en la lista un BIOS actualizado, Dell EMC recomienda a los clientes que no implementen las actualizaciones de BIOS publicadas anteriormente y que esperen la versión actualizada.

Si ya implementó actualizaciones de BIOS que pueden tener problemas según el aviso de Intel del 22 enero, para evitar un comportamiento imprevisible del sistema, puede volver a una versión anterior del BIOS. Consulte las siguientes tablas.

Como recordatorio, los parches del sistema operativo no se ven afectados y aún proporcionan mitigación para Spectre (variante 1) y Meltdown (variante 3). La actualización de microcódigo solo se requiere para las vulnerabilidades Spectre (variante 2) y CVE-2017-5715.

  Hay dos componentes esenciales que se deben aplicar para mitigar las vulnerabilidades antes mencionadas:

  1. BIOS del sistema según las siguientes tablas
  2. Actualizaciones del sistema operativo e Hypervisor.
Alentamos a los clientes a revisar el aviso de seguridad correspondiente del proveedor de Hypervisor o el sistema operativo. La sección Referencias que aparece a continuación contiene vínculos a algunos de estos proveedores.

Dell EMC les recomienda a los clientes seguir las mejores prácticas de seguridad para protegerse contra malware en general y, así, protegerse de una posible explotación de estos métodos de análisis hasta que se puedan aplicar las actualizaciones futuras. Estas prácticas incluyen realizar de manera rápida las actualizaciones de software, evitar los hipervínculos y sitios web no reconocidos, proteger el acceso a las cuentas privilegiadas y seguir los protocolos de contraseña segura.
 

Productos Dell que no requiere parches o soluciones para estas tres vulnerabilidades de CVE


Línea de productos Dell Storage
Evaluación
EqualLogic PS Series La CPU que se utiliza en este producto no implementa la ejecución especulativa, por lo tanto, las vulnerabilidades no se aplican a este hardware.
Dell EMC serie SC (Compellent) El acceso al sistema operativo de la plataforma para cargar códigos externos es limitado; el código malicioso no se puede ejecutar.
Dell Storage serie MD3 y DSMS MD3 El acceso al sistema operativo de la plataforma para cargar códigos externos es limitado; el código malicioso no se puede ejecutar.
Bibliotecas y unidades de cinta PowerVault de Dell El acceso al sistema operativo de la plataforma para cargar códigos externos es limitado; el código malicioso no se puede ejecutar.
Dell Storage serie FluidFS (incluye: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) El acceso al sistema operativo de la plataforma para cargar códigos externos está restringido solo a cuentas privilegiadas.
El código malicioso no se puede ejecutar, siempre que se sigan las mejores prácticas recomendadas para proteger el acceso de las cuentas privilegiadas.
 
Dispositivo virtual Dell Storage
Evaluación
Dispositivo virtual del administrador de Dell Storage (DSM VA - Compellent) Estos dispositivos virtuales no proporcionan acceso al usuario general. 
Son de un único usuario, usuario solo en la raíz, por lo tanto, no introducen ningún riesgo de seguridad adicional al entorno. 
El sistema host e Hypervisor deben estar protegidos; consulte los vínculos del proveedor y la declaración de mejores prácticas, que aparece más arriba.
 
Herramientas de integración de Dell Storage para VMware (Compellent)
Administrador de almacenamiento virtual Dell EqualLogic (VSM - EqualLogic)

Administración de sistemas para productos del servidor PowerEdge
Componente
Evaluación
 iDRAC: 14G, 13G, 12G, 11G  
No se ven afectados.
iDRAC es un sistema cerrado que no permite la ejecución de un código de terceros externos.
 Chassis Management Controller (CMC): 14G, 13G, 12G, 11G  
No se ven afectados.
CMC es un sistema cerrado que no permite la ejecución de un código de terceros externos.
Plataformas Evaluación
 
Transferencia de Ethernet Dell de 10 Gb
Estos productos corresponden a un dispositivo de un único usuario, usuario solo en la raíz. Los problemas notificados no presentan riesgos adicionales de seguridad para el entorno de un cliente, siempre y cuando se sigan las mejores prácticas recomendadas para proteger el acceso de las cuentas altamente privilegiadas.
Transferencia de Ethernet Dell de 10 Gb-K
Transferencia de Ethernet Dell
Transferencia FC8
Blade MXL Force10
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
Plataformas Evaluación
 
Brocade M5424, M6505, M8428-k Declaración del proveedor
Cisco Catalyst 3032, 3130, 3130G, 3130X Declaración del proveedor
Extensor de Fabric Blade Cisco Catalyst Nexus B22 de Dell Declaración del proveedor
Mellanox M2401G, M361Q, M4001F Fi Declaración del proveedor
Plataformas Evaluación
 
C1048P, C9010

Estos productos corresponden a un dispositivo de un único usuario, usuario solo en la raíz. Los problemas notificados no presentan riesgos adicionales de seguridad para el entorno de un cliente, siempre y cuando se sigan las mejores prácticas recomendadas para proteger el acceso de las cuentas altamente privilegiadas.
Recopilador del M E/S
MXL
FX2
N11xx, N15xx, N20xx, N30xx,
N2128PX, N3128PX
Navasota
S55, S60
S3048-On OS9, S3048-on OS10 Enterprise, S3100, S3124F, S3124P, S3148P
S4048, S4048-ON OS9, S4048-ON OS10 Enterprise, S4048T-ON OS9, S4048T-ON OS10 Enterprise
S4128F-ON, S4148F-ON, S4128T-ON, S4148T-ON, S4148U-ON, S4148FE-ON, S4148FB, S4248FBL
S5048, S5048F-ON, S5148F
S6000, S6000-ON OS9, S6010-ON OS9, S6010-ON OS10 Enterprise, S6100-ON
SIOM
Z9000, Z9100 OS9, Z9100 OS10 Enterprise
Plataformas Evaluación
 
PowerConnect 2016, 2124, 2216, 2224, 2324, 2508, 2608 2616 y 2624

Estos productos corresponden a un dispositivo de un único usuario, usuario solo en la raíz. Los problemas notificados no presentan riesgos adicionales de seguridad para el entorno de un cliente, siempre y cuando se sigan las mejores prácticas recomendadas para proteger el acceso de las cuentas altamente privilegiadas.
PowerConnect 2708, 2716, 2724, 2748, 2808, 2816, 2824 y 2848
PowerConnect 3024, 3048, 3248, 3324 y 3348
PowerConnect 3424, 3424P, 3448, 3448P, 3524, 3524P, 3548 y 3548P
PowerConnect 5012, 5212, 5224, 5316M, 5324, 5424, 5448, 5524, 5524P, 5548 y 5548P
PowerConnect 6024, 6024F, 6224, 6224F, 6224P, 6248 y 6248P
PowerConnect 7024, 7024F, 7024P, 7048, 7048P y 7048R
PowerConnect series 8024, 8024F y 8100
PowerConnect B-8000, B-8000e, B-FCXs y B-T124X
PowerConnect J-EX4200, J-EX4200-24F, J-EX4200-24t, J-EX4200-48t y J-EX4500
PowerConnect J-SRX100, J-SRX210 y SRX240
Tarjetas de línea serie C9000
Plataformas Evaluación
 
Brocade 300, 4424 Switch Fi, 5100, 5300 Declaración del proveedor
Brocade 6505, 6510, 6520, G620 Declaración del proveedor
Cisco Catalyst 3750E-48TD, 4900M y 4948-10GE Declaración del proveedor
Plataformas Evaluación
 
Controladora de red Fabric activa El software no se ve afectado
Administrador de estructura activa El software no se ve afectado
Dell Networking vCenter Plug-in El software no se ve afectado
Administrador de red OpenManage de Dell El software no se ve afectado
HiveManager NG No se necesita reducción;Declaración del proveedor
Abra automatización El software no se ve afectado
Redes definidas por software El software no se ve afectado



Nota: En las tablas que aparecen a continuación se indican los productos para los que está disponible la orientación del BIOS/firmware/controlador. Esta información se actualizará a medida que haya nueva información disponible. Si no ve su plataforma, consulte más adelante.

El BIOS del servidor se puede actualizar mediante iDRAC o directamente desde el sistema operativo. En este artículo se proporcionan métodos adicionales.

Estas son las versiones mínimas requeridas del BIOS.

Actualizaciones de BIOS/firmware/controlador para el servidor PowerEdge y los productos de redes


Generación Modelos Versión del BIOS
14G R740, R740XD, R640, R940 XC740XD y XC640 1.3.7
R540, R440, T440 y XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640, M640, M640P 1.3.7
C4140 1.1.6
R6415, R7415 1.0.9
R7425 1.0.9
Generación Modelos Versión del BIOS
13G R830 1.7.1
T130, R230, T330, R330, NX430 2.4.3
R930 2.5.1
R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 2.7.1
C4130 2.7.1
M630, M630P, FC630 2.7.1
FC430 2.7.1
M830, M830P, FC830 2.7.1
T630 2.7.1
R530, R430, T430, XC430, XC430Xpress 2.7.1
R530XD 1.7.0
C6320, XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12
Generación Modelos Versión del BIOS
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320, NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720, R720XD, NX3200 2.6.1
R620, NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220, C8220X 2.8.1
Generación Modelos Versión del BIOS
11G R710 6.5.0
NX3000 En proceso
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 En proceso
R410 1.13.0
NX300 En proceso
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 En proceso
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610, M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
Modelos Versión del BIOS
DSS9600, DSS9620, DSS9630 1.3.7
DSS1500, DSS1510, DSS2500 2.7.1
DSS7500 2.7.1
Modelos Versión de BIOS/firmware/controlador
VM con funciones básicas de OS10 En proceso
OS10 Enterprise VM En proceso
Emulador S OS En proceso
Emulador Z OS En proceso
Funciones básicas de OS10, S3048-ON En proceso
Funciones básicas de OS10, S4048-ON En proceso
Funciones básicas de OS10, S4048T-ON En proceso
Funciones básicas de OS, S6000-ON En proceso
Funciones básicas de OS10, S6010-ON En proceso
Funciones básicas de OS10, Z9100 En proceso
 
Redes: switches de puerto fijo
Plataformas Versión de BIOS/firmware/controlador
Mellanox serie SB7800, serie SX6000 Mellanox está investigando cuidadosamente los parches publicados y publicará las actualizaciones de software tan pronto como estén disponibles.Declaración del proveedor
Modelos Versión de BIOS/firmware/controlador
W-3200, W-3400, W-3600, W-6000, W-620, W-650 y W-651 Enlace- requiere iniciar sesión
Serie W-7005: W-7008, W-7010, W-7024, W-7030, W-7200 y W-7205 Enlace- requiere iniciar sesión
W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135 y W-AP175 Enlace- requiere iniciar sesión
W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274 y W-AP275 Enlace- requiere iniciar sesión
W-AP68, W-AP92, W-AP93 y W-AP93H Enlace- requiere iniciar sesión
W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134 y W-IAP135 Enlace- requiere iniciar sesión
W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214 y W-IAP215 Enlace- requiere iniciar sesión
W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92 y W-IAP93 Enlace- requiere iniciar sesión
Access Points de la serie W: 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334 y 335 Enlace- requiere iniciar sesión
Controlador W-Series AOS Enlace- requiere iniciar sesión
FIPS W-Series Enlace- requiere iniciar sesión
Modelos Versión de BIOS/firmware/controlador
W-Airwave Enlace- requiere iniciar sesión: asegúrese de que el Hypervisor tenga los parches correspondientes.
Dispositivos de hardware W-ClearPass Enlace- requiere iniciar sesión
Dispositivos virtuales W-ClearPass Enlace- requiere iniciar sesión: asegúrese de que el Hypervisor tenga los parches correspondientes.
Software W-ClearPass 100 Enlace- requiere iniciar sesión


Actualizaciones para otros productos de Dell

Referencias externas

Orientación sobre parches de sistema operativo

Vínculos de rendimiento



Preguntas frecuentes


Pregunta: ¿Cómo me puedo proteger contra estas vulnerabilidades?
Respuesta: Hay tres vulnerabilidades asociadas con Meltdown y Spectre. Los clientes deben implementar un parche del sistema operativo del proveedor de su sistema operativo para las 3 vulnerabilidades. Solo Spectre variante 2 (CVE-2017-5715) requiere la actualización de BIOS con el microcódigo que proporciona el proveedor del procesador. En este momento, Intel todavía no tiene disponible una actualización del microcódigo para protegerse contra la vulnerabilidad Spectre variante 2.

Consulte la tabla que aparece a continuación:
 

Variante que se debe parchar

¿Se requiere una actualización del microcódigo?

¿Se requiere un parche del sistema operativo?

Spectre (variante 1)
CVE-2017-5753

No

Spectre (variante 2)
CVE-2017-5715

Meltdown (variante 3)
CVE-2017-5754

No


Pregunta: ¿Cuál es la recomendación actual de Dell EMC respecto a la actualización de los parches del sistema operativo?
Respuesta: Consulte los vínculos a la Orientación sobre parches del proveedor del sistema operativo.

Pregunta: ¿Dell EMC cuenta con una lista de productos Enterprise que no se ven afectados?
Respuesta: Dell EMC tiene una lista de productos Enterprise que actualmente no están afectados, consulte aquí.

Pregunta: ¿Qué debo hacer si tengo en ejecución un servidor virtual?
Respuesta: Se debe parchar Hypervisor y todos los sistemas operativos invitados.

Pregunta: ¿Es posible que los exploradores de Internet se vean afectados? ¿(Explotación de JavaScript variante 2)?
Respuesta: Sí, los exploradores de internet se pueden ver afectados por la vulnerabilidad Spectre y la mayoría de los exploradores han proporcionado versiones actualizadas o parches para mitigar esta vulnerabilidad potencial. Consulte los vínculos que aparecen a continuación para ver información adicional sobre Chrome, Internet Explorer y Mozilla.

Pregunta: ¿Qué pasa con iDRAC y PERC?
Respuesta: PERC e iDRAC son sistemas cerrados que no permite la ejecución de un código de terceros (usuario). Spectre y Meltdown requieren la capacidad para ejecutar un código arbitrario en el procesador. Debido a esta disposición de código cerrado ni los dispositivos periféricos están en riesgo de la explotación del análisis del canal lateral del microprocesador.

Pregunta: ¿Qué pasa con los dispositivos? ¿Hay otras aplicaciones que no están afectadas?
Respuesta: Los sistemas cerrados que no permiten la ejecución de un código de terceros (usuario) no son vulnerables.

Pregunta: ¿Qué pasa con los procesadores AMD Opteron?
Respuesta: https://www.amd.com/en/corporate/speculative-execution.
Pregunta: ¿Cuándo estarán disponibles las actualizaciones de BIOS con microcódigo por parte de Dell EMC para sistemas basados en Intel?
Respuesta: los BIOS actualizados que contienen actualizaciones de seguridad con el microcódigo Intel están disponibles para los sistemas PowerEdge 14G, 13G, 12G y algunos de los sistemas 11G.
  • Consulte la disponibilidad de PowerEdge 11G, 12G, 13G y 14G, y la lista de actualizaciones de BIOS aquí.
  •  Las actualizaciones 11G restantes también están en desarrollo actualmente y el tiempo se confirmará más cerca de la fecha de publicación.
  • Una lista completa de las actualizaciones de BIOS disponibles para sistemas PowerEdge estará disponible aquí. Esta lista se actualiza continuamente a medida que versiones adicionales del BIOS están disponibles y recomendamos a los clientes marcar la página como favorito.

Pregunta: Cuándo estará disponible el BIOS para infraestructura convergente que se ejecuta con tecnología PowerEdge (VXRail, etc.)
Respuesta: Dell EMC está trabajando para validar las actualizaciones existentes de los códigos de PowerEdge para todas las plataformas de infraestructura convergente que se ejecutan con tecnología PowerEdge. Las actualizaciones se proporcionarán a medida que haya nueva información disponible.

Pregunta: ¿Dell EMC será la fábrica que instale los parches del sistema operativo y de Hypervisor para los servidores PowerEdge y la infraestructura convergente?
Respuesta: el 6 de marzo de 2018, Dell instalará de fábrica las versiones siguientes de actualizaciones del sistema operativo para ayudar a reducir las vulnerabilidades de Spectre/Meltdown.  Estos se configuran (cuando sea posible) para la protección máxima (totalmente habilitados).  En algunos casos, existen actualizaciones más recientes proporcionadas por los proveedores.  Siga consultando los sitios web del proveedor del sistema operativo para obtener orientación específica sobre la configuración y las actualizaciones más recientes y las opciones de configuración en cuanto estén disponibles.  
  • Windows Server 2016: KB4056890                (Publicado 4 ene, 2018)
  • RedHat Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64               (Publicado 4 ene, 2018)
  • Servidor SuSE Linux Enterprise 12 SP3: kernel-default-4.4.103-6.38.1.x86_64                (Publicado 4 ene, 2018)
  • VMware ESXi 6.5U1: Rev A08 Build 7388607                (contiene el parche VMSA-2018-002)
  • VMWare ESXi 6.0U3: Rev A08 Build 6921384                (contiene el parche VMSA-2018-002)

Pregunta: Escuché que la vulnerabilidad afecta a microprocesadores de al menos 10 años de antigüedad. ¿Qué tan atrás Dell ofrece actualizaciones de BIOS?
Respuesta: Dell está trabajando con Intel para proporcionar el BIOS requerido con parches del microcódigo para sistemas PowerEdge que se remontan hasta la decimoprimera generación de nuestra línea de productos. Las actualizaciones de BIOS que contienen actualizaciones del microcódigo para la solución de seguridad dependen de que los proveedores del procesador afectado proporcionen actualizaciones del código a Dell EMC.

Pregunta: ¿Dell EMC proporcionará soporte técnico para los sistemas que no están cubiertos por la garantía?
Respuesta: Dell EMC no proporciona soporte técnico para los servidores PowerEdge de Dell EMC que no tengan un contrato de soporte válido. Los clientes pueden acceder a los documentos de soporte disponibles públicamente en support.dell.com independientemente del estado actual del contrato de soporte.

Pregunta: ¿Dell EMC proporcionará parches para los sistemas que no están cubiertos por la garantía?
Respuesta: Los servidores Dell EMC PowerEdge no requieren un contrato de soporte válido para obtener acceso a nuestras páginas de soporte y de descarga. Las actualizaciones de BIOS del servidor PowerEdge estarán disponibles en el sitio de soporte de Dell EMC para todos los usuarios independientemente del estado actual del contrato de soporte. Consulte la sección del BIOS aquí para ver la disponibilidad del BIOS. Los parches del sistema operativo los debe obtener del proveedor del sistema operativo: los vínculos están aquí.

Pregunta: ¿Qué pasa con los nuevos procesadores AMD EPYC?
Respuesta: Para ver las declaraciones públicas de AMD sobre Meltdown (CVE-2017-5754) Spectre variante 1 (CVE-2017-5753) y Spectre variante 2 (CVE-2017-5715), ya que se refieren a los procesadores AMD, consulte https://www.amd.com/en/corporate/speculative-execution.
Para Spectre variante 1 (CVE-2017-5753) el parche correspondiente del sistema operativo aborda este problema.

Pregunta: ¿Cuándo estarán disponibles las actualizaciones de BIOS para los sistemas PowerEdge basados en AMD EYPC que se ven afectados por Spectre?
Respuesta: Dell EMC publicó actualizaciones de BIOS para nuestras plataformas 14G (R7425, R7415 y R6415), que están disponibles en nuestras páginas de soporte del producto. La instalación de fábrica de estas BIOS quedó disponible el 17 enero de 2018.

Pregunta: ¿Cuándo se instalará de fábrica el BIOS con las actualizaciones de microcódigo Intel en los sistemas PowerEdge basado en Intel?  
Respuesta: se espera que estén disponibles el 6 de marzo de 2018 mediante la instalación de fábrica del BIOS para PowerEdge 14G y 13G (excepto R930).  Se espera que esté disponible el 9 de marzo de 2018 mediante la instalación de fábrica del BIOS para PowerEdge R930.
Pregunta: ¿Hay efectos sobre el rendimiento de estos BIOS y actualizaciones del sistema operativo?
Respuesta: El aspecto clave de estos ataques se basa en la ejecución especulativa que es una función relacionada con el rendimiento. Los efectos en el rendimiento pueden variar, ya que dependen en gran medida de la carga de trabajo. Dell está trabajando con Intel y otros proveedores para determinar los efectos en el rendimiento como resultado de estas actualizaciones y los abordará cuando estén disponibles.



Need more help?
Find additional PowerEdge and PowerVault articles

Visit and ask for support in our Communities

Create an online support Request


 

Identificación del artículo: SLN308588

Última fecha de modificación: 13/09/2018 10:01


Califique este artículo

Preciso
Útil
Fácil de comprender
¿Este artículo fue útil?
No
Envíenos sus comentarios
Los comentarios no pueden contener estos caracteres especiales: <>"(", ")", "\"
Disculpe, nuestro sistema de comentarios está actualmente inactivo. Vuelva a intentarlo más tarde.

Muchas gracias por sus comentarios.