DSA-2019-152: Dell EMC Networking beveiligingsupdate voor Intel-SA-00233

CVE-identifier: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091

DSA Identifier: DSA-2019-152

Ernst: Gemiddelde

prioriteit: CVSS v3 Basisscore: Zie NVD (http://nvd.nist.gov/ ) voor individuele scores voor elke CVE

Betreffende producten: 

Samenvatting:
 

Details: 

Er zijn updates beschikbaar om de volgende beveiligingsproblemen op te lossen:

Intel-SA-00233:  Kwetsbaarheden in Intel Microarchitectural Data Sampling

•     CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
  
  Raadpleeg voor meer informatie over een van de veelvoorkomende kwetsbaarheden en blootstellingen (CVE's) die hier worden genoemd, de National Vulnerability Database (NVD) op http://nvd.nist.gov/home.cfm. Als u naar een bepaalde CVE wilt zoeken, gebruikt u het zoekhulpprogramma van de database op http://web.nvd.nist.gov/view/vuln/search 
   

  
  Oplossing: 

  
  Hieronder vindt u een lijst met getroffen producten en verwachte releasedatums. Dell raadt alle klanten aan om zo snel mogelijk een update uit te voeren.
  
  Er zijn twee essentiële onderdelen die moeten worden toegepast op de hierboven genoemde beveiligingslekken:
  
  1. Pas de BIOS-update toe bij de hieronder vermelde Dell EMC Networking-producten waarin dit probleem optreedt.
  2. Pas de patch voor het toepasselijke besturingssysteem toe. Dit is nodig om de zwakke plekken met betrekking tot de Intel SA-00233 te beperken.
  
  Wij raden klanten aan het beveiligingsadvies van Intel te raadplegen voor meer informatie, waaronder passende identificerende en beperkende maatregelen.
  
  Ga naar de website Drivers en downloads voor updates van de betreffende producten. Ga voor meer informatie naar het Dell Knowledge Base-artikel Dell Update Package en download de update voor uw Dell computer.
  
  Klanten kunnen een van de Dell notificatieoplossingen gebruiken om meldingen te ontvangen en driver-, BIOS- en firmware-updates automatisch te downloaden zodra deze beschikbaar zijn.
   

  
  Aanvullende verwijzingen:

  
  - Softwarebeveiligingsrichtlijnen voor ontwikkelaars: https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
  - Intel Security First – MDS-pagina: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
  - Intel Security Center: https://security-center.intel.com
  - AMD-reactie op CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout en Rogue In-Flight Data Load (RIDL)): https://www.amd.com/en/corporate/product-security
  - VMware: https://www.vmware.com/security/advisories/VMSA-2019-0008.html
  - Microsoft: https://support.microsoft.com/en-us/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
  - Rode hoed:
  https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it - SuSe: https://www.suse.com/security/cve/CVE-2018-12126/
  - Ubuntu: https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities            
  
   

   

  OPMERKING: Voordat u de update installeert, raadpleegt u de installatieprocedure in de release-opmerkingen.

   

   

  OPMERKING: De vermelde datums zijn geschatte datums van beschikbaarheid en zijn onderhevig aan veranderingen zonder voorafgaande kennisgeving.

   

   

  OPMERKING: De lijst met platformen voor Dell EMC netwerkproducten zal periodiek worden bijgewerkt. Kom regelmatig terug voor actuele informatie.

   

   

  OPMERKING: Updateversies in de onderstaande tabel zijn de eerste releases met de updates om de beveiligingslekken op te lossen. Releases na deze versies bevatten de beveiligingsupdates.

   

   

  OPMERKING: De onderstaande datums zijn aangegeven in de Nederlandse datumnotatie: DD-MM-JJJJ.

   

   

  Dell EMC netwerkproducten waarin dit probleem optreedt:

   

  Product	Updateversie (of hoger)	Releasedatum/ Verwachte releasedatum (MM/JJJJJ)
  PowerSwitch Z9264F-ON	Nog niet beschikbaar	Nog te bepalen
  PowerSwitch S5212F-ON	Beschikbaar	10/01/2019
  PowerSwitch S5224F-ON	Beschikbaar	10/01/2019
  PowerSwitch S5232F-ON	Beschikbaar	10/01/2019
  PowerSwitch S5248F-ON	Beschikbaar	10/01/2019
  PowerSwitch S5296F-ON	Beschikbaar	10/01/2019
  VEP4600	Beschikbaar	09/05/2019
  VEP1400	Beschikbaar	09/05/2019

   

  
  Prioriteitsniveau:  

  
  Raadpleeg voor een uitleg van de prioriteitsniveaus het Dell policy voor het vrijgeven van beveiligingslekken (in het Engels). Dell EMC raadt alle klanten aan rekening te houden met zowel de basisscore als eventuele relevante temporele en omgevingsscores die van invloed kunnen zijn op de potentiële prioriteit van een bepaald beveiligingsprobleem.

  
  Juridische informatie:

  
  Dell adviseert alle gebruikers om na te gaan of deze informatie voor hun eigen situatie geldt en passende maatregelen te nemen. De gegeven informatie is een feitelijke weergave van de situatie zonder enige vorm van garantie. Dell wijst alle garanties, hetzij uitdrukkelijk of impliciet, af, inclusief de garanties van verhandelbaarheid, geschiktheid voor een bepaald doel, titel en niet-schending. Dell of haar leveranciers kan in geen enkel geval aansprakelijk worden gesteld voor enige schade, inclusief directe, indirecte, incidentele schade, gevolgschade, winstderving of speciale schade, zelfs indien Dell of haar leveranciers zijn gewezen op de mogelijkheid van dergelijke schade. In bepaalde Amerikaanse staten is uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toegestaan, waardoor de voornoemde beperking mogelijk niet van toepassing is.

Niet van toepassing

Niet van toepassing