Уязвимости сторонних каналов микропроцессоров (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Влияние на серверы, системы хранения данных и сетевые компоненты Dell Technologies

Summary: Рекомендации Dell Technologies по снижению рисков и устранению уязвимостей стороннего анализа (также известных как Meltdown и Spectre) для серверов, систем хранения данных и сетевых продуктов. Конкретные сведения об уязвимых платформах и дальнейших действиях по установке обновлений см. в этом руководстве. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

21.11.2018

Идентификатор CVE: CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754

Dell Technologies известно об уязвимостях в анализе сторонних каналов (также известных как Meltdown и Spectre), затрагивающих многие современные микропроцессоры, которые были публично описаны группой исследователей безопасности 3 января 2018 года. Для получения дополнительной информации мы рекомендуем пользователям ознакомиться с рекомендациями по безопасности в разделе «Ссылки».

ПРИМЕЧАНИЕ. Руководство по исправлению (обновление 2018-02-08).

Dell Technologies получила новый микрокод от Intel в соответствии с рекомендациями от 22 января. Dell Technologies выпускает новые обновления BIOS для затронутых платформ для устранения уязвимости Spectre (вариант 2), CVE-2017-5715. На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если для вашего продукта указана обновленная версия BIOS, Dell Technologies рекомендует выполнить обновление до этой версии и применить соответствующие обновления операционной системы, чтобы смягчить последствия Meltdown и Spectre.
 
Если обновленный BIOS для вашего продукта не указан в списке, Dell Technologies все равно рекомендует заказчикам не развертывать ранее выпущенные обновления BIOS и дождаться обновленной версии.

Если вы уже установили обновление BIOS, которое может вызвать проблемы в соответствии с рекомендациями Intel от 22 января, чтобы избежать непредсказуемого поведения системы, вы можете вернуться к предыдущей версии BIOS. См. таблицы ниже.

Напоминаем, что исправления операционной системы не затронуты и по-прежнему смягчают последствия для Spectre (вариант 1) и Meltdown (вариант 3). Обновление микрокода требуется только для уязвимости Spectre (вариант 2), CVE-2017-5715.

  Существует два основных компонента, которые необходимо применить для устранения вышеупомянутых уязвимостей:

  1. BIOS системы в соответствии с приведенными ниже таблицами
  2. Обновления операционной системы и гипервизора.
Рекомендуем пользователям ознакомиться с соответствующими рекомендациями по безопасности от поставщиков гипервизоров и ОС. В разделе «Справочные материалы» ниже содержатся ссылки на некоторых из этих поставщиков.

Dell Technologies рекомендует заказчикам следовать передовым практикам для защиты от вредоносного ПО, чтобы защититься от возможного использования этих методов анализа до тех пор, пока не будут применены любые будущие обновления. В соответствии с этими правилами необходимо быстро устанавливать обновления ПО, не использовать незнакомые гиперссылки и веб-сайты, обеспечить защиту доступа к привилегированным учетным записям и настраивать надежные пароли.
 

Продукты Dell, не требующие исправлений для этих трех уязвимостей CVE

|

 
 
 
Линейка продуктов Dell для хранения данных
Оценка
EqualLogic серии PS В процессоре, используемом в этом продукте, не реализовано спекулятивное исполнение, поэтому в этом аппаратном устройстве нет уязвимостей.
Dell EMC серии SC (Dell Compellent) Доступ к операционной системе платформы для загрузки внешнего кода ограничен; Вредоносный код не может быть запущен.
Серия массивов хранения Dell MD3 и DSMS MD3 Доступ к операционной системе платформы для загрузки внешнего кода ограничен; Вредоносный код не может быть запущен.
Ленточные накопители и библиотеки Dell PowerVault Доступ к операционной системе платформы для загрузки внешнего кода ограничен; Вредоносный код не может быть запущен.
Системы хранения Dell серии FluidFS (включает: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) Доступ к операционной системе платформы для загрузки внешнего кода ограничен только привилегированными учетными записями.
Вредоносный код выполняться не будет, если соблюдаются рекомендации по защите доступа для привилегированных учетных записей.
 

 
 
 
Dell Storage Virtual Appliance
Оценка
Виртуальное устройство Dell Storage Manager (DSM VA — Dell Compellent) Эти виртуальные устройства не обеспечивают общий доступ пользователей. 
Они поддерживают только одного пользователя root, поэтому не приводят к дополнительным рискам безопасности для среды. 
Следует обеспечить защиту хост-системы и гипервизора, см. ниже ссылки поставщиков и указанные рекомендации.
 
Средства Dell Storage Integration Tools для VMware (Dell Compellent)
Dell EqualLogic Virtual Storage Manager (VSM — EqualLogic)


Управление системами для серверных продуктов PowerEdge
 
 
 
Компонент
Оценка
 iDRAC. 14, 13, 12, 11 Гбит/с  
Не затронут.
iDRAC — это закрытая система, которая не позволяет выполнять внешний код третьей стороны.
 Контроллер управления шасси (CMC): 14, 13, 12, 11 Гбит/с  
Не затронут.
CMC — это закрытая система, которая не позволяет выполнять внешний сторонний код.

Платформы Оценка
 
Транзитный модуль Dell Ethernet 10 Гбит/с
Эти продукты представляют собой однопользовательские устройства, предназначенные только для пользователя root. Обнаруженные проблемы не создают дополнительного риска безопасности для среды заказчика, если соблюдаются рекомендованные передовые практики защиты доступа к учетным записям с высоким уровнем привилегий.
Транзитный модуль Dell Ethernet 10Gb-K
Транзитный модуль Dell Ethernet
Транзитный модуль FC8
Блейд-сервер Force10 MXL
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
Платформы Оценка
 
Brocade M5424, M6505, M8428-k Заявление производителя
Cisco Catalyst 3032, 3130, 3130G, 3130X Заявление производителя
Cisco Catalyst Nexus B22 Dell Blade Fabric Extender Заявление производителя

Платформы Оценка
 
C1048P, C9010

Эти продукты представляют собой однопользовательские устройства, предназначенные только для пользователя root. Обнаруженные проблемы не создают дополнительного риска безопасности для среды заказчика, если соблюдаются рекомендованные передовые практики защиты доступа к учетным записям с высоким уровнем привилегий.
Агрегатор ввода-вывода M
MXL
FX2
N11xx, N15xx, N20xx, N30xx,
N2128PX, N3128PX
S55, S60
S3048-On OS9, S3048-on OS10 Enterprise, S3100, S3124F, S3124P, S3148P
S4048, S4048-ON OS9, S4048-ON OS10 Enterprise, S4048T-ON OS9, S4048T-ON OS10 Enterprise
S4128F-ON, S4148F-ON, S4128T-ON, S4148T-ON, S4148U-ON, S4148FE-ON, S4148FB, S4248FBL
S5048, S5048F-ON, S5148F
S6000, S6000-ON OS9, S6010-ON OS9, S6010-ON OS10 Enterprise, S6100-ON
SIOM
Z9000, Z9100 OS9, Z9100 OS10 Enterprise

Платформы Оценка
 
PowerConnect 2016, 2124, 2216, 2224, 2324, 2508, 2608 2616, 2624

Эти продукты представляют собой однопользовательские устройства, предназначенные только для пользователя root. Обнаруженные проблемы не создают дополнительного риска безопасности для среды заказчика, если соблюдаются рекомендованные передовые практики защиты доступа к учетным записям с высоким уровнем привилегий.
PowerConnect 2708, 2716, 2724, 2748, 2808, 2816, 2824, 2848
PowerConnect 3024, 3048, 3248, 3324, 3348
PowerConnect 3424, 3424P, 3448, 3448P, 3524, 3524P, 3548, 3548P
PowerConnect 5012, 5212, 5224, 5316M, 5324, 5424, 5448, 5524, 5524P, 5548, 5548P
PowerConnect 6024, 6024F, 6224, 6224F, 6224P, 6248, 6248P
PowerConnect 7024, 7024F, 7024P, 7048, 7048P, 7048R
PowerConnect 8024, 8024F, серии 8100
PowerConnect B-8000, B-8000e, B-FCXs, B-T124X
PowerConnect J-EX4200, J-EX4200-24F, J-EX4200-24t, J-EX4200-48t, J-EX4500
PowerConnect J-SRX100, J-SRX210, SRX240
Линейные платы серии C9000
Платформы Оценка
 
Коммутатор Brocade 300, 4424 Fi, 5100, 5300 Заявление производителя
Brocade 6505, 6510, 6520, G620 Заявление производителя
Cisco Catalyst 3750E-48TD, 4900M, 4948-10GE Заявление производителя

Платформы Оценка
 
Активный контроллер фабрики Программное обеспечение не затронуто
Диспетчер активной фабрики Программное обеспечение не затронуто
Подключаемый модуль Dell Networking vCenter Программное обеспечение не затронуто
Dell OpenManage Network Manager Программное обеспечение не затронуто
Open Automation Программное обеспечение не затронуто
Программно-определяемая сеть Программное обеспечение не затронуто
 
ПРИМЕЧАНИЕ. В приведенных ниже таблицах перечислены продукты, для которых доступны руководства по BIOS, микропрограмме и драйверам. Эта информация обновляется по мере появления дополнительных сведений. Если вы не видите свою платформу, пожалуйста, проверьте позже.

BIOS сервера можно обновить с помощью iDRAC. Дополнительные сведения см. в статье базы знаний Dell Удаленное обновление микропрограммы с помощью веб-интерфейса iDRAC (Integrated Dell Remote Access Controller) или непосредственно из операционной системы, или в статье базы знаний Dell Обновление драйвера или микропрограммы Dell PowerEdge непосредственно из ОС (Windows и Linux).
Дополнительные способы см. в статье базы знаний Dell Обновление микропрограммы и драйверов на серверах Dell PowerEdge.

Это минимально необходимые версии BIOS.

Обновление BIOS, микропрограммы и драйверов для серверов PowerEdge и сетевых продуктов

Поколение Модели Версия BIOS
14G R740, R740XD, R640, R940 XC740XD, XC640 1.3.7
R540, R440, T440, XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640, M640, M640P 1.3.7
C4140 1.1.6
R6415, R7415 1.0.9
R7425 1.0.9

Поколение Модели Версия BIOS
13G R830 1.7.1
T130, R230, T330, R330, NX430 2.4.3
R930 2.5.1
R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 2.7.1
C4130 2.7.1
M630, M630P, FC630 2.7.1
FC430 2.7.1
M830, M830P, FC830 2.7.1
T630 2.7.1
R530, R430, T430, XC430, XC430Xpress 2.7.1
R530XD 1.7.0
C6320, XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12

Поколение Модели Версия BIOS
12G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320, NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720, R720XD, NX3200, XC720XD 2.6.1
R620, NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220, C8220X 2.8.1

Поколение Модели Версия BIOS
11G R710 6.5.0
NX3000 6.6.0
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 1.14.0
R410 1.13.0
NX300 1.14.0
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 1.14.0
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610, M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1,80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
ПРИМЕЧАНИЕ. *** На платформах серии NX 11-го поколения обновите только BIOS, используя непакетное обновление.

Модели Версия BIOS
DSS9600, DSS9620, DSS9630 1.3.7
DSS1500, DSS1510, DSS2500 2.7.1
DSS7500 2.7.1

Модели Версия BIOS/микропрограммы/драйвера
ВМ OS10 Basic В процессе
ВМ OS10 Enterprise В процессе
Эмулятор ОС S В процессе
Эмулятор ОС Z В процессе
S3048-ON OS10 Basic В процессе
S4048-ON OS10 Basic В процессе
S4048T-ON OS10 Basic В процессе
S6000-ON OS Basic В процессе
S6010-ON OS10 Basic В процессе
Z9100 OS10 Basic В процессе
 
Сеть — коммутаторы фиксированных портов
Платформы Версия BIOS/микропрограммы/драйвера
Mellanox серии SB7800, серии SX6000 Mellanox внимательно изучает выпущенные исправления и будет выпускать обновления программного обеспечения, когда они будут доступны. Заявление производителя

Модели Версия BIOS/микропрограммы/драйвера
W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 Ссылка - требуется авторизация.
W-7005, W-7008, W-7010, W-7024, W-7030, серия W-7200, W-7205 Ссылка - требуется авторизация.
W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 Ссылка - требуется авторизация.
W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 Ссылка - требуется авторизация.
W-AP68, W-AP92, W-AP93, W-AP93H Ссылка - требуется авторизация.
W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 Ссылка - требуется авторизация.
W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 Ссылка - требуется авторизация.
W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 Ссылка - требуется авторизация.
Точки доступа серии W — 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 Ссылка - требуется авторизация.
W-Series Controller AOS Ссылка - требуется авторизация.
W-Series FIPS Ссылка - требуется авторизация.
Модели Версия BIOS/микропрограммы/драйвера
W-Airwave Ссылка — требуется вход — убедитесь, что на гипервизоре установлены соответствующие исправления.
Аппаратные устройства W-ClearPass Ссылка - требуется авторизация.
Виртуальные устройства W-ClearPass Ссылка — требуется вход — убедитесь, что на гипервизоре установлены соответствующие исправления.
Программное обеспечение W-ClearPass 100 Ссылка - требуется авторизация.

Обновления для других продуктов Dell

Внешние ссылки

Руководство по установке исправлений для операционной системы

Ссылки о производительности

Часто задаваемые вопросы

Вопрос. Как защититься от этих уязвимостей?
ответ: Существует три уязвимости, связанные с Meltdown и Spectre. Для устранения всех трех уязвимостей заказчики должны установить исправление операционной системы от своего поставщика. Только Spectre Variant 2 (CVE-2017-5715) требует обновления BIOS с микрокодом, предоставленным поставщиком процессора. В настоящее время у Intel еще нет обновления микрокода для защиты от уязвимости Spectre Variant 2.

См. таблицу ниже:
 

Вариант для установки исправлений

Требуется обновление микрокода?

Требуется ли исправление для операционной системы?

Spectre (вариант 1):
CVE-2017-5753

Нет

Yes

Spectre (вариант 2):
CVE-2017-5715

Yes

Yes

Meltdown (вариант 3):
CVE-2017-5754

Нет

Yes

Вопрос. Каковы текущие рекомендации Dell Technologies по обновлению исправлений для операционной системы?
ответ: См. ссылки на исправления от поставщика операционной системы.

Вопрос. Есть ли у Dell Technologies список корпоративных продуктов, которые не затронуты этой проблемой?
ответ: Dell Technologies подготовила список корпоративных продуктов, которые не затронуты этой проблемой. См. раздел Продукты Dell, которым не требуется установка исправлений для этих трех уязвимостей CVE .

Вопрос: Что делать, если у меня виртуальный сервер?
ответ: Необходимо обновить и гипервизор, и все гостевые операционные системы.

Вопрос: Могут ли быть затронуты интернет-браузеры? (эксплойт JavaScript Variant 2)?
ответ: Да, интернет-браузеры могут быть затронуты уязвимостью Spectre, и большинство браузеров предоставили обновленные версии или исправления для устранения этой потенциальной уязвимости. Дополнительные сведения см. по ссылкам ниже для Chrome, Internet Explorer и Mozilla.

Вопрос. А как насчет iDRAC и PERC?
ответ: И PERC, и iDRAC являются закрытыми системами, которые не позволяют запускать сторонний (пользовательский) код. Для обеих атак (Spectre и Meltdown) необходимо, чтобы процессор выполнял произвольный код. Из-за такого закрытого расположения кода ни одно из периферийных устройств не подвержено риску эксплойта микропроцессора при анализе боковых каналов.

Вопрос: А как насчет бытовой техники? Существуют ли другие приложения, которые не затронуты?
ответ: Закрытые системы, которые не позволяют запускать сторонний (пользовательский) код, не уязвимы.

Вопрос: Что можно сказать о процессорах AMD Opteron?
Ответ: https://www.amd.com/en/corporate/speculative-execution.

Вопрос. Когда будут доступны обновления BIOS с микрокодом от Dell Technologies для систем на базе процессоров Intel?
ответ: Обновленные BIOS, содержащие обновления микрокода Intel, доступны для PowerEdge 14-го, 13-го, 12-го поколений и некоторых систем 11-го поколения.

Вопрос. Когда BIOS будет доступен для конвергентной инфраструктуры, использующей технологию PowerEdge (VXRail и т. д.)
Ответ: Dell Technologies работает над валидацией существующих обновлений кода PowerEdge для всех платформ конвергентной инфраструктуры, работающих на базе технологии PowerEdge. Обновления предоставляются по мере поступления дополнительной информации.

Вопрос: Установит ли Dell Technologies на заводе операционную систему и исправления гипервизора для серверов PowerEdge и конвергентной инфраструктуры?
ответ: С 6 марта 2018 года Dell производит заводскую установку следующих версий обновлений операционной системы для устранения уязвимостей, связанных со Spectre/Meltdown. Они настроены (где это возможно) для максимальной защиты (все функции включены). Иногда поставщики предоставляют новые обновления.  Продолжайте посещать веб-сайты поставщиков операционных систем для получения конкретных рекомендаций по настройке, а также новых обновлений и параметров конфигурации по мере их появления.  
  • Windows Server 2016: KB4056890 (Дата выпуска: 4 января 2018 г.)
  • Red Hat Software Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64 (дата выпуска: 4 января 2018 г.)
  • SuSE Linux Enterprise Server 12 с пакетом обновления 3: kernel-default-4.4.103-6.38.1.x86_64                (Выпущено 4 января 2018 г.)
  • VMware ESXi 6.5U1 Версия 7388607 сборки A08 (содержит исправление VMSA-2018-002)
  • VMware ESXi 6.0U3 Версия 6921384 сборки A08 (содержит исправление VMSA-2018-002)

Вопрос. Я слышал, что уязвимость затрагивает микропроцессоры как минимум 10 лет назад. С какого момента Dell предлагает обновление BIOS?
ответ: Dell сотрудничает с Intel, чтобы обеспечить необходимую BIOS с исправлениями микрокода для систем PowerEdge, начиная с нашей линейки продуктов 11-го поколения. Любые обновления BIOS, содержащие обновления микрокода для исправления безопасности, будут предоставляться поставщиками затронутых процессоров компании Dell Technologies.

Вопрос: Будет ли Dell Technologies предоставлять техническую поддержку для систем, на которые не распространяется гарантия?
ответ: Dell Technologies не предоставляет техническую поддержку для серверов Dell Technologies PowerEdge, на которые нет действующего контракта на поддержку. Заказчики могут получить доступ к общедоступным документам поддержки на сайте Dell Support независимо от текущего статуса контракта на поддержку.

Вопрос: Будет ли Dell Technologies предоставлять исправления для систем, на которые не распространяется гарантия?
ответ: Для доступа к нашим страницам поддержки и скачивания серверных продуктов Dell Technologies PowerEdge не требуется наличие действующего контракта на поддержку. Обновления BIOS для серверов PowerEdge доступны на сайте поддержки Dell Technologies для всех пользователей независимо от текущего состояния контракта на поддержку. Сведения о доступности BIOS см. в разделе BIOS Обновления BIOS/микропрограммы/драйверов для серверов PowerEdge и сетевых продуктов. Исправления для операционной системы необходимо получить у поставщика операционной системы. См. ссылки в разделе Руководство по исправлениям операционной системы .

Вопрос: А как насчет новых процессоров AMD EPYC?
ответ: Публичные заявления AMD о Meltdown (CVE-2017-5754), варианте 1 Spectre (CVE-2017-5753) и варианте 2 Spectre (CVE-2017-5715) применительно к процессорам AMD см. https://www.amd.com/en/corporate/speculative-execution.
Для варианта Spectre 1 (CVE-2017-5753) эта проблема устранена соответствующим исправлением операционной системы.

Вопрос: Когда будут доступны обновления BIOS для систем PowerEdge на базе процессоров AMD EYPC, подверженных проблеме Spectre?
ответ: Компания Dell EMC выпустила обновления BIOS для платформ 14-го поколения (R7425, R7415 и R6415), которые доступны на страницах поддержки наших продуктов. Заводские установки этих BIOS стали доступны 17 января 2018 г.

Вопрос: Когда в системах PowerEdge на базе процессоров Intel будет производиться установка обновлений микрокода BIOS?  
ответ: BIOS для серверов PowerEdge 14-го и 13-го поколений (кроме R930) планируется установить на заводе 6 марта 2018 г.  BIOS для PowerEdge R930 планируется установить на заводе к 9 марта 2018 г.

Вопрос. Влияют ли эти обновления BIOS и операционной системы на производительность?
ответ: Ключевой аспект этих атак основан на спекулятивном исполнении, которое является функцией, связанной с производительностью. Влияние на производительность может быть разным, так как оно сильно зависит от рабочей нагрузки. Корпорация Dell работает с Intel и другими поставщиками, чтобы определить последствия для производительности, и опубликует эти данные, когда они станут доступны.

Cause

Информация о причине отсутствует.

Resolution

Информация о решении отсутствует.

Affected Products

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Article Properties
Article Number: 000178106
Article Type: Solution
Last Modified: 06 Sept 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.