DSA-2019-152: Atualização de segurança do Dell EMC Networking para Intel-SA-00233

Identificador de CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e CVE-2019-11091

Identificador DSA: DSA-2019-152

Gravidade: Classificação de gravidade média

: Pontuação básica do CVSS v3: Consulte NVD (http://nvd.nist.gov/ ) para pontuações individuais para cada CVE

Produtos afetados: 

Resumo:
 

Detalhes: 

As atualizações estão disponíveis para resolver as seguintes vulnerabilidades de segurança:

Intel-SA-00233 : Vulnerabilidades de amostragem de dados microarquiteturais da Intel

•     CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 e CVE-2019-11091
  
  Para obter mais informações sobre qualquer uma das vulnerabilidades e exposições comuns (CVEs) mencionadas aqui, consulte o National Vulnerability Database (NVD) em http://nvd.nist.gov/home.cfm. Para pesquisar um CVE específico, use o utilitário de pesquisa do banco de dados em http://web.nvd.nist.gov/view/vuln/search 
   

  
  Resolução: 

  
  A seguir, uma lista de produtos impactados e datas de lançamento esperadas. A Dell recomenda que todos os clientes façam a atualização o quanto antes.
  
  Há dois componentes essenciais que precisam ser aplicados para atenuar as vulnerabilidades mencionadas acima:
  
  1. Aplique a atualização de firmware listada na seção de Produtos Dell EMC Networking afetados, abaixo.
  2. Aplique o patch do sistema operacional apropriado. Isso é necessário para atenuar as vulnerabilidades relacionadas ao Intel-SA-00233.
  
  Recomendamos aos clientes analisar o Informe de segurança da Intel para obter informações, incluindo medidas adequadas de identificação e mitigação.
  
  Visite o site de drivers e downloads para obter atualizações sobre os produtos aplicáveis. Para saber mais, acesse o artigo Dell Update Package da base de conhecimento Dell e faça download da atualização para seu computador Dell.
  
  Os clientes podem usar uma das soluções de notificação da Dell para serem notificados e para fazer download de atualizações de driver, de BIOS e de firmware automaticamente quando ficarem disponíveis.
   

  
  Referências adicionais:

  
  - Orientação de Segurança de Software para desenvolvedores: https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
  - Intel Security First – Página MDS: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
  - Intel Security Center: https://security-center.intel.com
  - Resposta da AMD a CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout and Rogue In-Flight Data Load (RIDL)): https://www.amd.com/en/corporate/product-security
  - VMware: https://www.vmware.com/security/advisories/VMSA-2019-0008.html
  - Microsoft: https://support.microsoft.com/en-us/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
  - Chapéu Vermelho:
  https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it - SuSe: https://www.suse.com/security/cve/CVE-2018-12126/
  - Ubuntu: https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities            
  
   

   

  Nota: Antes de instalar a atualização, consulte o procedimento de instalação nas notas da versão.

   

   

  Nota: As datas listadas são as datas previstas de disponibilidade e estão sujeitas a alterações sem aviso prévio.

   

   

  Nota: A lista de produtos Dell EMC Networking será atualizada periodicamente. Verifique frequentemente se as informações são as mais atualizadas.

   

   

  Nota: A tabela abaixo apresenta as primeiras versões com as atualizações para resolver as vulnerabilidades de segurança. Esta e as próximas versões incluirão as atualizações de segurança.

   

   

  Nota: As datas abaixo estão no formato brasileiro DD/MM/AAAA.

   

   

  Produtos Dell EMC Networking afetados:

   

  Produto	Versão de atualização (ou posterior)	Data da versão/ Data de lançamento esperada (MM/AAAAA)
  PowerSwitch Z9264F-ON	Ainda não disponível	não definido
  PowerSwitch S5212F-ON	Disponível	10/01/2019
  PowerSwitch S5224F-ON	Disponível	10/01/2019
  PowerSwitch S5232F-ON	Disponível	10/01/2019
  PowerSwitch S5248F-ON	Disponível	10/01/2019
  PowerSwitch S5296F-ON	Disponível	10/01/2019
  VEP4600	Disponível	09/05/2019
  VEP1400	Disponível	09/05/2019

   

  
  Classificação de gravidade:  

  
  Para ver uma explicação das classificações de gravidade, consulte a Política de divulgação de vulnerabilidade da Dell. A Dell EMC recomenda que todos os clientes levem em consideração a pontuação básica e quaisquer pontuações relevantes temporais e ambientais que possam afetar a gravidade potencial associada a qualquer vulnerabilidade de proteção em particular.

  
  Informações legais:

  
  A Dell recomenda que todos os usuários determinem a aplicabilidade das informações às suas situações individuais e tomem as medidas adequadas. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.

Não aplicável

Não aplicável