Вразливості бічного каналу мікропроцесора (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Вплив на сервери, сховища та мережі Dell Technologies

Summary: Керівництво Dell Technologies щодо зниження ризиків і вирішення вразливостей аналізу бічних каналів (також відомих як Meltdown і Spectre) для серверів, сховищ і мережевих продуктів. Щоб отримати детальну інформацію про відповідні платформи та подальші кроки щодо застосування оновлень, перегляньте цей посібник. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

2018-11-21

Ідентифікатор CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Dell Technologies відомо про вразливості аналізу бічних каналів (також відомі як Meltdown і Spectre), що впливають на багато сучасних мікропроцесорів, які були публічно описані групою дослідників безпеки 3 січня 2018 року. Ми рекомендуємо клієнтам ознайомитися з рекомендаціями щодо безпеки в розділі «Довідники» для отримання додаткової інформації.

ПРИМІТКА. Керівництво по виправленню (оновлення 08.02.2018):

Dell Technologies отримала новий мікрокод від Intel відповідно до своїх рекомендацій , які були випущені 22 січня. Dell Technologies випускає нові оновлення BIOS для постраждалих платформ, щоб вирішити проблему Spectre (варіант 2), CVE-2017-5715. Таблиці продуктів були оновлені і будуть оновлюватися в міру випуску більшої кількості мікрокоманд Intel. Якщо ваш продукт має оновлений BIOS, Dell Technologies рекомендує оновити його до цього BIOS і застосувати відповідні оновлення операційної системи, щоб захистити себе від Meltdown і Spectre.
 
Якщо у вашому продукті немає оновленого BIOS, Dell Technologies все одно радить клієнтам не розгортати раніше випущені оновлення BIOS і чекати оновленої версії.

Якщо ви вже розгорнули оновлення BIOS, з яким можуть виникнути проблеми відповідно до рекомендацій Intel від 22 січня, щоб уникнути непередбачуваної поведінки системи, ви можете повернутися до попередньої версії BIOS. Дивіться таблиці нижче.

Нагадуємо, що виправлення операційної системи не зазнали впливу і все ще забезпечують пом'якшення наслідків для Spectre (варіант 1) і Meltdown (варіант 3). Оновлення мікрокоманд потрібне лише для Spectre (варіант 2), CVE-2017-5715.

  Є два важливі компоненти, які необхідно застосувати для пом'якшення вищезазначених вразливостей:

  1. BIOS системи відповідно до таблиць нижче
  2. Оновлення операційної системи та гіпервізора.
Ми рекомендуємо клієнтам ознайомитися з відповідними рекомендаціями щодо безпеки постачальника гіпервізора/ОС. Розділ «Довідники» нижче містить посилання на деяких із цих постачальників.

Dell Technologies рекомендує клієнтам дотримуватися найкращих практик безпеки щодо захисту від шкідливого програмного забезпечення в цілому, щоб захистити від можливого використання цих методів аналізу, доки не будуть застосовані будь-які майбутні оновлення. Ці методи включають своєчасне впровадження оновлень програмного забезпечення, уникнення нерозпізнаних гіперпосилань і веб-сайтів, захист доступу до привілейованих облікових записів і дотримання протоколів надійного пароля.
 

Продукти Dell, які не вимагають виправлень або виправлень для цих трьох вразливостей CVE

|

 
 
 
Лінійка продуктів для зберігання Dell
Оцінки
Серія EqualLogic PS Центральний процесор, що використовується в цьому продукті, не реалізує спекулятивне виконання, тому вразливості не поширюються на це обладнання.
Серія Dell EMC SC (Dell Compellent) Доступ до операційної системи платформи для завантаження зовнішнього коду обмежений; Шкідливий код неможливо запустити.
Накопичувачі Dell серії MD3 і DSMS MD3 Доступ до операційної системи платформи для завантаження зовнішнього коду обмежений; Шкідливий код неможливо запустити.
Стрічкові накопичувачі та бібліотеки Dell PowerVault Доступ до операційної системи платформи для завантаження зовнішнього коду обмежений; Шкідливий код неможливо запустити.
Серія Dell Storage FluidFS (включає: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) Доступ до операційної системи платформи для завантаження зовнішнього коду обмежений лише привілейованими обліковими записами.
Шкідливий код не може бути запущений за умови дотримання рекомендованих рекомендацій щодо захисту доступу привілейованих облікових записів.
 

 
 
 
Віртуальний пристрій для зберігання Dell
Оцінки
Віртуальний пристрій Dell Storage Manager (DSM VA - Dell Compellent) Ці віртуальні пристрої не надають загального доступу користувачам. 
Вони розраховані лише на одного користувача, лише на корені, і тому не створюють жодних додаткових ризиків для безпеки середовища. 
Хост-система та гіпервізор повинні бути захищені; Дивіться посилання постачальників та Заяву про найкращі практики вище.
 
Інструменти інтеграції сховищ Dell для VMware (Dell Compellent)
Менеджер віртуальних сховищ Dell EqualLogic (VSM - EqualLogic)


Керування системами для серверних продуктів PowerEdge
 
 
 
Компонент
Оцінки
 iDRAC: 14 Г, 13 Г, 12 Г, 11 Г  
Не зачеплено.
iDRAC – це закрита система, яка не дозволяє виконувати зовнішній сторонній код.
 Контролер управління шасі (CMC): 14 Г, 13 Г, 12 Г, 11 Г  
Не зачеплено.
CMC – це закрита система, яка не дозволяє виконувати зовнішній сторонній код.

Платформ Оцінки
 
Наскрізний порт Dell 10Gb Ethernet
Ці продукти призначені лише для одного користувача. Проблеми, про які повідомлялося, не створюють жодних додаткових ризиків для безпеки середовища клієнтів за умови дотримання рекомендованих найкращих практик захисту доступу до облікових записів із високим рівнем привілейованості.
Наскрізний порт Dell 10Gb-K Ethernet
Наскрізний доступ до Dell Ethernet
FC8 Наскрізний
Лезо Force10 MXL
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
Платформ Оцінки
 
Парча М5424, М6505, М8428-к Заява постачальника
Cisco Catalyst 3032, 3130, 3130G, 3130X Заява постачальника
Подовжувач тканини Cisco Catalyst Nexus B22 Dell Blade Заява постачальника

Платформ Оцінки
 
С1048П, С9010

Ці продукти призначені лише для одного користувача. Проблеми, про які повідомлялося, не створюють жодних додаткових ризиків для безпеки середовища клієнтів за умови дотримання рекомендованих найкращих практик захисту доступу до облікових записів із високим рівнем привілейованості.
Агрегатор M I/O
MXL
FX2
N11xx, N15xx, N20xx, N30xx,
N2128PX, N3128PX
С55, С60
S3048-On OS9, S3048-on OS10 Enterprise, S3100, S3124F, S3124P, S3148P
S4048, S4048-ON OS9, S4048-ON OS10 Enterprise, S4048T-ON OS9, S4048T-ON OS10 Enterprise
S4128F-ON, S4148F-ON, S4128T-ON, S4148T-ON, S4148U-ON, S4148FE-ON, S4148FB, S4248FBL
S5048, S5048F-ON, S5148F
S6000, S6000-ON OS9, S6010-ON OS9, S6010-ON OS10 Enterprise, S6100-ON
СІОМ
Z9000, Z9100 OS9, Z9100 OS10 Підприємство

Платформ Оцінки
 
PowerConnect 2016, 2124, 2216, 2224, 2324, 2508, 2608, 2616, 2624

Ці продукти призначені лише для одного користувача. Проблеми, про які повідомлялося, не створюють жодних додаткових ризиків для безпеки середовища клієнтів за умови дотримання рекомендованих найкращих практик захисту доступу до облікових записів із високим рівнем привілейованості.
PowerConnect 2708, 2716, 2724, 2748, 2808, 2816, 2824, 2848
PowerConnect 3024, 3048, 3248, 3324, 3348
PowerConnect 3424, 3424P, 3448, 3448P, 3524, 3524P, 3548, 3548P
PowerConnect 5012, 5212, 5224, 5316M, 5324, 5424, 5448, 5524, 5524P, 5548P
PowerConnect 6024, 6024F, 6224, 6224F, 6224P, 6248, 6248P
PowerConnect 7024, 7024F, 7024P, 7048, 7048P, 7048R
Серії PowerConnect 8024, 8024F, 8100
PowerConnect B-8000, B-8000e, B-FCXs, B-T124X
PowerConnect J-EX4200, J-EX4200-24F, J-EX4200-24t, J-EX4200-48t, J-EX4500
PowerConnect J-SRX100, J-SRX210, SRX240
Лінійні карти серії C9000
Платформ Оцінки
 
Парча 300, 4424 Перемикач Fi, 5100, 5300 Заява постачальника
Парча 6505, 6510, 6520, G620 Заява постачальника
Cisco Catalyst 3750E-48TD, 4900M, 4948-10GE Заява постачальника

Платформ Оцінки
 
Активний контролер тканини Програмне забезпечення не зазнає змін
Активний менеджер по тканині Програмне забезпечення не зазнає змін
Плагін Dell Networking vCenter Програмне забезпечення не зазнає змін
Dell OpenManage Network Manager Програмне забезпечення не зазнає змін
Відкрита автоматизація Програмне забезпечення не зазнає змін
Програмно-конфігуровані мережі Програмне забезпечення не зазнає змін
 
ПРИМІТКА. У наведених нижче таблицях перераховані продукти, для яких доступні інструкції BIOS/прошивки/драйверів. Ця інформація оновлюється в міру надходження додаткової інформації. Якщо ви не бачите свою платформу, будь ласка, перевірте пізніше.

BIOS сервера можна оновити за допомогою iDRAC, для отримання додаткової інформації дивіться статтю бази знань Dell Як оновити мікропрограму віддалено за допомогою веб-інтерфейсу інтегрованого контролера віддаленого доступу Dell (iDRAC) або безпосередньо з операційної системи, або додаткову інформацію дивіться статтю Dell Knowledge Base Оновлення драйвера або прошивки Dell PowerEdge безпосередньо з ОС (Windows і Linux).
Додаткові методи наведено в статті Dell Knowledge Base Оновлення прошивки та драйверів на серверах Dell PowerEdge.

Це мінімально необхідні версії BIOS.

Оновлення BIOS/мікропрограми/драйверів для сервера PowerEdge і мережевих продуктів

Покоління Моделі Версія BIOS
14 Г R740, R740XD, R640, R940 XC740XD, XC640 1.3.7
R540, R440, T440, XR2 1.3.7
Т640 1.3.7
С6420 1.3.7
FC640, M640, M640P 1.3.7
З4140 1.1.6
Р6415, Р7415 1.0.9
Р7425 1.0.9

Покоління Моделі Версія BIOS
13 Г 830 р. 1.7.1
T130, R230, T330, R330, NX430 2.4.3
930 р. 2.5.1
R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 2.7.1
З4130 2.7.1
M630, M630P, FC630 2.7.1
ФК430 2.7.1
M830, M830P, FC830 2.7.1
Т630 2.7.1
R530, R430, T430, XC430, XC430Xpress 2.7.1
Р530XD 1.7.0
C6320, XC6320 2.7.1
С6320П 2.0.5
Т30 1.0.12

Покоління Моделі Версія BIOS
12 Г 920 р. 1.7.1
820 р. 2.4.1
520 р. 2.5.1
Р420 2.5.1
R320, NX400 2.5.1
Т420 2.5.1
Т320 2.5.1
Р220 1.10.2
R720, R720XD, NX3200, XC720XD 2.6.1
R620, NX3300 2.6.1
М820 2.6.1
М620 2.6.1
М520 2.6.1
М420 2.6.1
Т620 2.6.1
FM120x4 1.7.0
Т20 Відповідь 16
С5230 1.3.1
С6220 2.5.5
C6220II 2.8.1
C8220, C8220X 2.8.1

Покоління Моделі Версія BIOS
11 Г Р710 6.5.0
NX3000 6.6.0
Р610 6.5.0
Т610 6.5.0
Р510 1.13.0
NX3100 1.14.0
Р410 1.13.0
NX300 1.14.0
Т410 1.13.0
Р310 1.13.0
Т310 1.13.0
NX200 1.14.0
Т110 1.11.1
Т110-ІІ 2.9.0
Р210 1.11.0
Р210-ІІ 2.9.0
810 р. 2.10.0
Р910 2.11.0
Т710 6.5.0
M610, M610X 6.5.0
М710 6.5.0
M710HD 8.3.1
М910 2.11.0
С1100 3Б24
С2100 3Б24
З5220 2.2.0
З6100 1.80
Р415 2.4.1
Р515 2.4.1
Р715 3.4.1
815 р. 3.4.1
М915 3.3.1
З6105 2.6.0
З6145 3.6.0
ПРИМІТКА. Оновлюйте BIOS лише за допомогою оновлення без упаковки на платформах серії 11G NX.

Моделі Версія BIOS
DSS9600, DSS9620, DSS9630 1.3.7
DSS1500, DSS1510, DSS2500 2.7.1
DSS7500 2.7.1

Моделі BIOS/Прошивка/Версія драйвера
Базова віртуальна машина OS10 В процесі
Корпоративна віртуальна машина OS10 В процесі
S OS-емулятор В процесі
Z OS-емулятор В процесі
S3048-ON OS10 Basic В процесі
S4048-ON OS10 Basic В процесі
S4048T-ON OS10 Базовий В процесі
S6000-ON ОС Базовий В процесі
S6010-ON OS10 Basic В процесі
Z9100 OS10 Базовий В процесі
 
Робота в мережі - комутатори з фіксованим портом
Платформ Версія BIOS/FIrmware/Driver
Серія Mellanox SB7800, серія SX6000 Mellanox ретельно досліджує випущені виправлення і випустить оновлення програмного забезпечення, коли вони стануть доступними. Заява постачальника

Моделі BIOS/Прошивка/Версія драйвера
W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 Посилання - вимагає авторизації.
W-7005, W-7008, W-7010, W-7024, W-7030, W-7200, W-7205 Посилання - вимагає авторизації.
W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 Посилання - вимагає авторизації.
W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 Посилання - вимагає авторизації.
W-AP68, W-AP92, W-AP93, W-AP93H Посилання - вимагає авторизації.
W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 Посилання - вимагає авторизації.
W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 Посилання - вимагає авторизації.
W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 Посилання - вимагає авторизації.
Точки доступу серії W - 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 Посилання - вимагає авторизації.
Контролер серії W AOS Посилання - вимагає авторизації.
Серія W FIPS Посилання - вимагає авторизації.
Моделі BIOS/Прошивка/Версія драйвера
W-ЕФІРНА ХВИЛЯ Посилання - вимагає входу - Переконайтеся, що у гіпервізора є відповідні патчі.
Апаратна техніка W-ClearPass Посилання - вимагає авторизації.
Віртуальні пристрої W-ClearPass Посилання - вимагає входу - Переконайтеся, що у гіпервізора є відповідні патчі.
Програмне забезпечення W-ClearPass 100 Посилання - вимагає авторизації.

Оновлення щодо інших продуктів Dell

Зовнішні посилання

Керівництво по виправленню операційної системи

Посилання на продуктивність

Часті питання (FAQ)

Питання: Як я можу захиститися від цих вразливостей?
Відповідь: Є три вразливості, пов'язані з Meltdown і Spectre. Клієнти повинні розгорнути виправлення операційної системи від постачальника операційної системи для всіх трьох вразливостей. Лише для Spectre Variant 2 (CVE-2017-5715) потрібне оновлення BIOS за допомогою мікрокоду, наданого виробником процесора. В даний час Intel ще не має доступного оновлення мікрокоманд для захисту від уразливості Spectre Variant 2.

Дивіться таблицю нижче:
 

Варіант виправлення

Потрібне оновлення мікрокоманд?

Потрібен патч для операційної системи?

Спектр (варіант 1)
CVE-2017-5753

Ні

Так

Спектр (варіант 2)
CVE-2017-5715

Так

Так

Meltdown (варіант 3)
CVE-2017-5754

Ні

Так

Питання: Яка поточна рекомендація Dell Technologies щодо оновлення патчів операційної системи?
Відповідь: Перегляньте посилання на інструкції з виправлень від постачальника операційної системи.

Питання: Чи має Dell Technologies список корпоративних продуктів, яких це не стосується?
Відповідь: Dell Technologies має список продуктів Enterprise, яких це не стосується. Перегляньте розділ «Продукти Dell», які не потребують виправлень або виправлень для цих трьох вразливостей CVE .

Питання: Що робити, якщо я запускаю віртуальний сервер?
Відповідь: Необхідно оновити як гіпервізор, так і всі гостьові операційні системи.

Питання: Чи може це вплинути на інтернет-браузери? (Експлойт JavaScript Варіант 2)?
Відповідь: Так, уразливість Spectre може вплинути на інтернет-браузери, і більшість браузерів надали оновлені версії або виправлення для пом'якшення цієї потенційної вразливості. Перегляньте посилання нижче для Chrome, Internet Explorer і Mozilla для отримання додаткової інформації.

Питання: А як щодо iDRAC та PERC?
Відповідь: І PERC, і iDRAC є закритими системами, які не дозволяють виконувати сторонній код (користувачеві). Spectre і Meltdown вимагають можливості запуску довільного коду на процесорі. Через таке закрите розташування коду жоден з периферійних пристроїв не піддається ризику експлойту мікропроцесора аналізу бічного каналу.

Питання: А як щодо побутової техніки? Чи є інші програми, на які це не вплине?
Відповідь: Закриті системи, які не дозволяють запускати сторонній (призначений) код користувача, не є вразливими.

Питання: А як щодо процесорів AMD Opteron?
Відповідь: https://www.amd.com/en/corporate/speculative-execution.

Питання: Коли BIOS з оновленнями мікрокоманд буде доступний від Dell Technologies для систем на базі Intel?
Відповідь: Оновлені BIOS, які містять оновлення безпеки мікрокоманд Intel, доступні для PowerEdge 14G, 13G, 12G і деяких систем 11G.

Питання: Коли BIOS буде доступний для конвергентної інфраструктури, що працює на технології PowerEdge (VXRail, так далі)
Відповідь: Dell Technologies працює над перевіркою існуючих оновлень коду PowerEdge для всіх платформ конвергентної інфраструктури, що працюють на технології PowerEdge. Оновлення надаються в міру надходження додаткової інформації.

Питання: Чи буде Dell Technologies на заводі встановлювати операційну систему та патчі гіпервізора для серверів PowerEdge та конвергентної інфраструктури?
Відповідь: Станом на 6 березня 2018 року Dell на заводі встановлює наступні версії оновлень операційної системи, щоб допомогти пом'якшити вразливості Spectre/Meltdown. Вони налаштовані (де це можливо) для максимального захисту (повністю ввімкнені). Іноді постачальники надають новіші оновлення.  Продовжуйте переглядати веб-сайти постачальників операційних систем, щоб отримати конкретні вказівки щодо конфігурації, а також нові оновлення та параметри конфігурації, щойно вони стануть доступними.  
  • Windows Server 2016: KB4056890 (випущено 4 січня 2018 р.)
  • Red Hat Software Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64 (випущено 4 січня 2018 р.)
  • SuSE Linux Enterprise Server 12 SP3: kernel-default-4.4.103-6.38.1.x86_64 (випущено 4 січня 2018 р.)
  • VMware ESXi 6.5U1: Rev A08 Build 7388607 (містить патч VMSA-2018-002)
  • VMware ESXi 6.0U3: Rev A08 Build 6921384 (містить патч VMSA-2018-002)

Питання: Про те, що вразливість зачіпає мікропроцесори, я чув як мінімум 10 років тому. Як далеко назад Dell пропонує оновлення BIOS?
Відповідь: Dell співпрацює з Intel, щоб забезпечити необхідний BIOS патчами з мікрокодом для систем PowerEdge, починаючи з нашої лінійки продуктів 11-го покоління. Будь-які оновлення BIOS, які містять оновлення мікрокоманд для виправлення безпеки, залежатимуть від постачальників процесорів, яких це стосується, які надають оновлення коду Dell Technologies.

Питання: Чи буде Dell Technologies надавати технічну підтримку системам, які вийшли з гарантії?
Відповідь: Dell Technologies не надає технічну підтримку серверам Dell Technologies PowerEdge, які не мають чинного контракту на підтримку. Клієнти можуть отримати доступ до загальнодоступних документів підтримки Dell Support незалежно від поточного статусу контракту на підтримку.

Питання: Чи надаватиме Dell Technologies виправлення для систем, які вийшли з гарантії?
Відповідь: Серверні продукти Dell Technologies PowerEdge не вимагають дійсного контракту на підтримку, щоб отримати доступ до наших сторінок підтримки та завантаження. Оновлення BIOS сервера PowerEdge доступні на сайті підтримки Dell Technologies для всіх користувачів, незалежно від поточного статусу контракту на підтримку. Дивіться розділ BIOS BIOS/Прошивка/Оновлення драйверів для PowerEdge Server та Networking Products для доступності BIOS. Виправлення операційної системи слід отримувати від постачальника операційної системи, дивіться посилання в розділі «Інструкції щодо виправлень» операційної системи .

Питання: А як щодо нових процесорів AMD EPYC?
Відповідь: Публічні заяви AMD щодо процесорів AMD (CVE-2017-5754), Spectre Variant 1 (CVE-2017-5753) і Spectre Variant 2 (CVE-2017-5715) стосуються процесорів AMD, дивіться https://www.amd.com/en/corporate/speculative-execution.
Для Spectre Варіант 1 (CVE-2017-5753) відповідний патч операційної системи вирішує цю проблему.

Питання: Коли будуть доступні оновлення BIOS для систем PowerEdge на базі AMD EYPC, на які впливає Spectre?
Відповідь: Dell EMC випустила оновлення BIOS для наших платформ 14G (R7425, R7415 і R6415), які доступні на сторінках підтримки наших продуктів. Заводські інсталяції цих BIOS були доступні 17 січня 2018 року.

Питання: Коли BIOS з оновленнями мікрокоманд Intel буде встановлено на заводі в системах PowerEdge на базі Intel?  
Відповідь: BIOS PowerEdge 14G і 13G (крім R930) планується зробити доступним після заводської установки 6 березня 2018 року.  Планується, що BIOS PowerEdge R930 стане доступним із заводською інсталяцією до 9 березня 2018 року.

Питання: Чи впливають ці оновлення BIOS та операційної системи на продуктивність?
Відповідь: Ключовий аспект цих атак покладається на спекулятивне виконання, яке є особливістю, пов'язаною з продуктивністю. Вплив на продуктивність різний, оскільки він значною мірою залежить від робочого навантаження. Dell співпрацює з Intel та іншими постачальниками, щоб визначити вплив на продуктивність у результаті цих оновлень, і вирішить цю проблему, як тільки вона стане доступною.

Cause

Інформації про причину немає.

Resolution

Інформації про роздільну здатність немає.

Affected Products

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Article Properties
Article Number: 000178106
Article Type: Solution
Last Modified: 06 Sept 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.