Failles de sécurité de canal latéral de microprocesseur (CVE-2018-3639 et CVE-2018-3640) : impact sur les serveurs, le stockage et les produits de gestion de réseau Dell EMC PowerEdge
Résumé: Conseils de Dell EMC pour prévenir les risques, et résolution pour les vulnérabilités par analyse (également connues sous les noms de Speculative Store Bypass et Rogue System Register Read) pour les serveurs, les produits de stockage et les produits de mise en réseau. Pour des informations spécifiques relatives aux plates-formes concernées et les étapes suivantes pour appliquer les mises à jour, reportez-vous à ce guide. ...
Symptômes
2018-11-09
CVE ID : CVE-2018-3639, CVE-2018-3640
Dell EMC a connaissance des failles de sécurité de canal auxiliaire décrites dans CVE-2018-3639 (également connue sous le nom de Speculative Store Bypass) et CVE-2018-3640 (également connue sous le nom de Rogue System Register Read) affectant de nombreux microprocesseurs modernes qui ont été publiés par Google Project Zero et le Microsoft Security Response Center le 21 mai 2018. Un attaquant sans privilèges avec un accès utilisateur local au système pourrait exploiter ces vulnérabilités pour lire les données de la mémoire en accès privilégié. Pour plus d’informations, consultez les mises à jour de sécurité publiées par Intel.
Dell EMC étudie actuellement l’impact de ces problèmes sur ses produits. Cet article sera mis à jour régulièrement avec des détails sur l’impact généré et les étapes de réduction des risques à suivre, à mesure qu’ils seront disponibles. Les étapes de réduction des risques peuvent varier selon le produit et peuvent nécessiter des mises à jour du microcode du processeur (BIOS), du système d’exploitation (SE), du gestionnaire de machines virtuelles (VMM) et d’autres composants logiciels.
Dell EMC recommande à ses clients de suivre les pratiques d’excellence en matière de protection contre les logiciels malveillants, afin de se protéger contre une éventuelle exploitation de ces vulnérabilités, et ce jusqu’à l’application des prochaines mises à jour. Ces pratiques incluent, sans s’y limiter, de déployer rapidement les mises à jour logicielles, d’éviter les liens hypertextes et les sites Web inconnus, de ne jamais télécharger de fichiers ou d’applications provenant de sources inconnues et d’utiliser un antivirus à jour et des solutions avancées de protection contre les menaces.
Serveurs Dell EMC PowerEdge
Vous devez appliquer deux composants essentiels pour atténuer les vulnérabilités mentionnées ci-dessus :
2. Les mises à jour du système d’exploitation et de l’hyperviseur.
Les tableaux de produit ont été mis à jour et seront mis à jour à mesure que des microcodes seront publiés par Intel. Si le BIOS de votre produit fait partie de la liste des BIOS mis à jour, Dell EMC vous recommande de le mettre à niveau et d’appliquer les correctifs du système d’exploitation appropriés afin d’atténuer les vulnérabilités liées aux CVE répertoriés.
Appliances hyperconvergées série XC Dell EMC
Consultez les tableaux des produits des serveurs PowerEdge.
Produits
de stockage Dell EMC (séries SC, PS et PowerVault MD)Reportez-vous aux tableaux produits pour connaître les mesures d’atténuation et l’analyse appropriées.
Produits
de gestion de réseau Dell EMCReportez-vous aux tableaux produits pour connaître les mesures d’atténuation et l’analyse appropriées.
Pour plus d’informations sur d’autres produits Dell, consultez l’article Impact du contournement spéculatif des magasins (CVE-2018-3639, CVE-2018-3640) sur les produits Dell .
Le BIOS du serveur peut être mis à jour à l’aide d’iDRAC ou directement à partir du système d’exploitation. Des méthodes supplémentaires sont présentées dans cet article.
Il s’agit des versions minimales de BIOS requises.
Mises à jour du BIOS/micrologiciel/pilotes pour les serveurs PowerEdge et produits de stockage (y compris les plates-formes de stockage exploitées par serveur) et les mises en réseau
|
Ligne de produits Dell Storage
|
Évaluation
|
| EqualLogic PS Series | Sans objet.
Le processeur utilisé dans le produit n’est pas affecté par les problèmes signalés. Le processeur utilisé est un processeur Broadcom MIPS sans exécution spéculative. |
| Série SC Dell EMC (Compellent) | Aucun risque supplémentaire pour la sécurité.
Pour tirer parti de ces vulnérabilités, un attaquant doit d’abord être en mesure d’exécuter du code malveillant sur le système ciblé. Le produit est conçu pour empêcher les utilisateurs de charger et d’exécuter un code externe et/ou non fiable sur le système. Les problèmes signalés ne génèrent pas d’autres risques de sécurité pour le produit. |
| Séries MD3 et DSMS MD3 Dell Storage | |
| Lecteurs de bande et bibliothèques Dell PowerVault | |
| Série Dell Storage FluidFS (inclut : FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Aucun risque supplémentaire pour la sécurité.
Pour tirer parti de ces vulnérabilités, un attaquant doit d’abord être en mesure d’exécuter du code malveillant sur le système ciblé. L’accès au produit pour charger un code externe et/ou potentiellement non approuvé est réservé aux utilisateurs disposant de privilèges racines ou équivalent uniquement. Les problèmes signalés n’introduisent aucun risque de sécurité supplémentaire pour le produit, à condition que les pratiques d’excellence recommandées pour protéger l’accès au compte à privilèges élevés soient respectées. |
|
Appliance virtuelle Dell Storage
|
Évaluation
|
| Appliance virtuelle Dell Storage Manager (DSM VA - Compellent) | Aucun risque supplémentaire pour la sécurité.
Pour tirer parti de ces vulnérabilités, un attaquant doit d’abord être en mesure d’exécuter du code malveillant sur le système ciblé. L’accès au produit pour charger un code externe et/ou potentiellement non approuvé est réservé aux utilisateurs disposant de privilèges racines ou équivalent uniquement. Les problèmes signalés n’introduisent aucun risque de sécurité supplémentaire pour le produit, à condition que les pratiques d’excellence recommandées pour protéger l’accès au compte à privilèges élevés soient respectées. Il est fortement conseillé aux clients d’appliquer un correctif sur l’environnement hôte virtuel dans lequel le produit est déployé afin de bénéficier d’une protection complète. |
| Outils d’intégration Dell Storage pour VMWare (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Ligne de produits Dell Storage
|
Évaluation
|
| Famille Dell Storage NX | Touchés.
Reportez-vous aux informations relatives au serveur PowerEdge pertinent pour obtenir des informations sur les correctifs du BIOS. Suivez les recommandations adaptées du fournisseur du système d’exploitation sur l’atténuation au niveau du système d’exploitation. |
| Famille Dell Storage DSMS |
Gestion des systèmes pour produits de serveur PowerEdge
|
Composant
|
Évaluation
|
|
iDRAC : 14G, 13G, 12G, 11G
|
Non impacté.
Pour tirer parti de ces vulnérabilités, un attaquant doit d’abord être en mesure d’exécuter du code malveillant sur le système ciblé. Le produit est conçu pour empêcher les utilisateurs de charger et d’exécuter un code externe et/ou non fiable sur le système. Les problèmes signalés ne génèrent pas d’autres risques de sécurité pour le produit. |
|
Chassis Management Controller (CMC) : 14G, 13G, 12G, 11G
|
Non impacté.
Pour tirer parti de ces vulnérabilités, un attaquant doit d’abord être en mesure d’exécuter du code malveillant sur le système ciblé. Le produit est conçu pour empêcher les utilisateurs de charger et d’exécuter un code externe et/ou non fiable sur le système. Les problèmes signalés ne génèrent pas d’autres risques de sécurité pour le produit. |
| Génération | Modèles | Version du BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Génération | Modèles | Version du BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Génération | Modèles | Version du BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0 | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | En cours | |
| C5220 | 2.3.0 | |
| C6100 | 1,81 |
| Modèles | Version du BIOS/micrologiciel/pilote |
| VM de base OS10 | En cours |
| VM d’entreprise OS10 | En cours |
| Emulateur S OS | En cours |
| Emulateur Z OS | En cours |
| S3048-ON OS10 de base | En cours |
| S4048-ON OS10 de base | En cours |
| S4048T-ON OS10 de base | En cours |
| S6000-ON OS de base | En cours |
| S6010-ON OS10 de base | En cours |
| Z9100 OS10 de base | En cours |
| Plates-formes | Version du BIOS/micrologiciel/pilote |
| Mellanox série SB7800, série SX6000 | En cours |
| Modèles | Version du BIOS/micrologiciel/pilote |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | En cours |
| Série W-7005, W-7008, W-7010, W-7024, W-7030, W-7200, W-7205 | En cours |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | En cours |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | En cours |
| W-AP68, W-AP92, W-AP93, W-AP93H | En cours |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | En cours |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | En cours |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | En cours |
| Points d’accès W-Series - 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | En cours |
| AOS du contrôleur du W-Series | En cours |
| W-Series FIPS | En cours |
| Modèles | Version du BIOS/micrologiciel/pilote |
| W-Airwave | En cours : assurez-vous que l’hyperviseur est doté des correctifs appropriés. |
| Appliances matérielles W-ClearPass | En cours |
| Appliances virtuelles W-ClearPass | En cours : assurez-vous que l’hyperviseur est doté des correctifs appropriés. |
| Logiciel W-ClearPass 100 | En cours |
Références externes
- Bulletin d’informations sur la sécurité Intel - Intel-SA-00115 : https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012, CVE-2018-3639 : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Blog sur les recherches de sécurité et la défense Microsoft : https://aka.ms/sescsrdssb
- Guide de développement pour les Spectulative Store Bypass : https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Site Web sur la fiabilité Microsoft Azure : https://aka.ms/azurereliability
- VMWare : https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe : https://www.suse.com/support/kb/doc/?id=7022937
- RedHat : https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4