Article Number: 000178082
Vulnerabilità di canale laterale del microprocessore (CVE-2018-3639 e CVE-2018-3640): Impatto sui server Dell EMC PowerEdge, sui prodotti di storage (serie SC, PS e PowerVault MD) e di rete
Summary: Istruzioni di Dell EMC per ridurre i rischi e risolvere le vulnerabilità di analisi del canale laterale (note anche come Speculative Store Bypass e Rogue System Register Read) per i server e i prodotti di storage e di rete. Per informazioni specifiche sulle piattaforme interessate e i passaggi successivi per applicare gli aggiornamenti, consultare questa guida. ...
Article Content
Symptoms
ID CVE 11-09 2018:
CVE-2018-3639, CVE-2018-3640
Dell EMC è a conoscenza delle vulnerabilità del canale laterale descritte in CVE-2018-3639 (noto anche come Speculative Store Bypass) e CVE-2018-3640 (noto anche come Rogue System Register Read) che interessano molti microprocessori moderni pubblicati da Google Project Zero e Microsoft Security Response Center il 21 maggio 2018. Un utente malintenzionato senza privilegi e che dispone dell'accesso utente locale al sistema potrebbe sfruttare queste vulnerabilità per leggere i dati di memoria riservati. Per ulteriori informazioni, consultare gli aggiornamenti della sicurezza pubblicati da Intel.
Dell EMC sta esaminando l'impatto di questi problemi sui nostri prodotti. Questo articolo verrà regolarmente aggiornato con i dettagli sugli effetti e con le procedure per ridurre gli effetti una volta disponibili. Le procedure per la riduzione dei problemi possono variare in base al prodotto e potrebbero richiedere aggiornamenti al microcodice del processore (BIOS), al sistema operativo (OS), a Virtual Machine Manager (VMM) e ad altri componenti software.
Dell EMC consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware al fine di evitare possibili exploit di queste vulnerabilità fino a quando non sarà possibile applicare aggiornamenti futuri. Queste procedure includono, a titolo esemplificativo ma non esaustivo, implementare tempestivamente gli aggiornamenti software, evitare collegamenti ipertestuali e siti Web sconosciuti, non scaricare mai file o applicazioni da fonti sconosciute e utilizzare antivirus aggiornati e soluzioni di protezione avanzate dalle minacce.
Server Dell EMC PowerEdge
Vi sono due componenti essenziali che devono essere applicati per mitigare le suddette vulnerabilità:
Le tabelle dei prodotti sono state aggiornate e verranno aggiornate non appena vengono rilasciati più microcodici da Intel. Se il prodotto dispone di un BIOS aggiornato nell'elenco, Dell EMC consiglia di eseguire l'aggiornamento a tale BIOS e di applicare le patch del sistema operativo appropriate per ridurre le CVE elencate.
Hyper-converged appliance Dell EMC serie XC.
Consultare le tabelle dei prodotti server PowerEdge.
Prodotti di storage Dell EMC (serie SC, PS e PowerVault MD)
Consultare le tabelle dei prodotti per le attenuazioni e le analisi appropriate.
Prodotti Dell EMC Networking
Consultare le tabelle dei prodotti per le attenuazioni e le analisi appropriate.
Per informazioni su altri prodotti Dell, consultare: Impatto di Speculative Store ByPass (CVE-2018-3639, CVE-2018-3640) sui prodotti Dell .
Nota: Le tabelle riportate di seguito elencano i prodotti per i quali sono disponibili indicazioni su BIOS/firmware/driver. Queste informazioni saranno aggiornate non appena saranno disponibili ulteriori informazioni. Se la piattaforma non è visualizzata, verificare successivamente.
Il BIOS del server può essere aggiornato utilizzando iDRAC o direttamente dal sistema operativo. Ulteriori metodi sono forniti in questo articolo.
Queste sono le versioni minime richieste del BIOS.
Gestione dei sistemi per i prodotti server PowerEdge
Aggiornare il BIOS solo utilizzando l'aggiornamento non in pacchetto sulle piattaforme serie NX 11G.
CVE-2018-3639, CVE-2018-3640
Dell EMC è a conoscenza delle vulnerabilità del canale laterale descritte in CVE-2018-3639 (noto anche come Speculative Store Bypass) e CVE-2018-3640 (noto anche come Rogue System Register Read) che interessano molti microprocessori moderni pubblicati da Google Project Zero e Microsoft Security Response Center il 21 maggio 2018. Un utente malintenzionato senza privilegi e che dispone dell'accesso utente locale al sistema potrebbe sfruttare queste vulnerabilità per leggere i dati di memoria riservati. Per ulteriori informazioni, consultare gli aggiornamenti della sicurezza pubblicati da Intel.
Dell EMC sta esaminando l'impatto di questi problemi sui nostri prodotti. Questo articolo verrà regolarmente aggiornato con i dettagli sugli effetti e con le procedure per ridurre gli effetti una volta disponibili. Le procedure per la riduzione dei problemi possono variare in base al prodotto e potrebbero richiedere aggiornamenti al microcodice del processore (BIOS), al sistema operativo (OS), a Virtual Machine Manager (VMM) e ad altri componenti software.
Dell EMC consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware al fine di evitare possibili exploit di queste vulnerabilità fino a quando non sarà possibile applicare aggiornamenti futuri. Queste procedure includono, a titolo esemplificativo ma non esaustivo, implementare tempestivamente gli aggiornamenti software, evitare collegamenti ipertestuali e siti Web sconosciuti, non scaricare mai file o applicazioni da fonti sconosciute e utilizzare antivirus aggiornati e soluzioni di protezione avanzate dalle minacce.
Server Dell EMC PowerEdge
Vi sono due componenti essenziali che devono essere applicati per mitigare le suddette vulnerabilità:
1. BIOS di sistema come elencato nelle tabelle riportate di seguito
2. Aggiornamenti del sistema operativo e hypervisor.
2. Aggiornamenti del sistema operativo e hypervisor.
Le tabelle dei prodotti sono state aggiornate e verranno aggiornate non appena vengono rilasciati più microcodici da Intel. Se il prodotto dispone di un BIOS aggiornato nell'elenco, Dell EMC consiglia di eseguire l'aggiornamento a tale BIOS e di applicare le patch del sistema operativo appropriate per ridurre le CVE elencate.
Hyper-converged appliance Dell EMC serie XC.
Consultare le tabelle dei prodotti server PowerEdge.
Prodotti di storage Dell EMC (serie SC, PS e PowerVault MD)
Consultare le tabelle dei prodotti per le attenuazioni e le analisi appropriate.
Prodotti Dell EMC Networking
Consultare le tabelle dei prodotti per le attenuazioni e le analisi appropriate.
Per informazioni su altri prodotti Dell, consultare: Impatto di Speculative Store ByPass (CVE-2018-3639, CVE-2018-3640) sui prodotti Dell .
Nota: Le tabelle riportate di seguito elencano i prodotti per i quali sono disponibili indicazioni su BIOS/firmware/driver. Queste informazioni saranno aggiornate non appena saranno disponibili ulteriori informazioni. Se la piattaforma non è visualizzata, verificare successivamente.
Il BIOS del server può essere aggiornato utilizzando iDRAC o direttamente dal sistema operativo. Ulteriori metodi sono forniti in questo articolo.
Queste sono le versioni minime richieste del BIOS.
Aggiornamenti di BIOS/firmware/driver per server PowerEdge, dispositivi di storage (incluse piattaforme di storage basate su server) e prodotti di rete
|
Linea di prodotti Dell Storage
|
Valutazione
|
| EqualLogic serie PS | Non applicabile. La CPU utilizzata nel prodotto non è interessata dai problemi segnalati. La CPU utilizzata è un processore Broadcom MIPS senza esecuzione speculativa. |
| Dell EMC serie SC (Compellent) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
| Dell Storage serie MD3 e DSMS MD3 | |
| Unità nastro e librerie Dell PowerVault | |
| Dell Storage serie FluidFS (include: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. L'accesso al prodotto per il caricamento di codici esterni e/o potenzialmente non attendibili è limitato solo agli utenti con privilegi root o equivalenti. I problemi segnalati non introducono un ulteriore rischio di sicurezza per il prodotto, ammesso che vengano seguite le procedure consigliate fornite per proteggere l'accesso degli account con privilegi elevati. |
|
Appliance virtuale Dell Storage
|
Valutazione
|
| Appliance virtuale Dell Storage Manager (DSM VA - Compellent) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. L'accesso al prodotto per il caricamento di codici esterni e/o potenzialmente non attendibili è limitato solo agli utenti con privilegi root o equivalenti. I problemi segnalati non introducono un ulteriore rischio di sicurezza per il prodotto, ammesso che vengano seguite le procedure consigliate fornite per proteggere l'accesso degli account con privilegi elevati. Per una protezione completa, si consiglia ai clienti di applicare la patch per l'ambiente host virtuale in cui è distribuito il prodotto. |
| Strumenti di integrazione Dell Storage per VMWare (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Linea di prodotti Dell Storage
|
Valutazione
|
| Famiglia Dell Storage NX | Prodotto interessato dal problema. Consultare le informazioni pertinenti al server PowerEdge sulla patch del BIOS. Seguire le raccomandazioni del fornitore del sistema operativo per ridurre gli effetti del problema. |
| Famiglia Dell Storage DSMS |
Gestione dei sistemi per i prodotti server PowerEdge
|
Componente
|
Valutazione
|
|
iDRAC: 14G, 13G, 12G, 11G
|
Non interessati.
Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
|
Controller di gestione dello chassis (CMC): 14G, 13G, 12G, 11G
|
Non interessati.
Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
| Generazione | Modelli | Versione del BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Generazione | Modelli | Versione del BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Generazione | Modelli | Versione del BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0 | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0 | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0 | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0 | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | In elaborazione | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Aggiornare il BIOS solo utilizzando l'aggiornamento non in pacchetto sulle piattaforme serie NX 11G.
| Modelli | Versione BIOS/Firmware/Driver |
| OS10 Basic VM | In elaborazione |
| OS10 Enterprise VM | In elaborazione |
| S OS-Emulator | In elaborazione |
| Z OS-Emulator | In elaborazione |
| S3048-ON OS10 Basic | In elaborazione |
| S4048-ON OS10 Basic | In elaborazione |
| S4048T-ON OS10 Basic | In elaborazione |
| S6000-ON OS Basic | In elaborazione |
| S6010-ON OS10 Basic | In elaborazione |
| Z9100 OS10 Basic | In elaborazione |
Reti - Switch porta fissa
| Piattaforme | Versione BIOS/Firmware/Driver |
| Mellanox serie SB7800, serie SX6000 | In elaborazione |
| Modelli | Versione BIOS/Firmware/Driver |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | In elaborazione |
| W-7005, W-7008, W-7010, W-7024, W-7030, W-7200 Series, W-7205 | In elaborazione |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | In elaborazione |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | In elaborazione |
| W-AP68, W-AP92, W-AP93, W-AP93H | In elaborazione |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | In elaborazione |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | In elaborazione |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | In elaborazione |
| Punti di accesso serie W - 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | In elaborazione |
| Controller AOS serie W | In elaborazione |
| FIPS serie W | In elaborazione |
| Modelli | Versione BIOS/Firmware/Driver |
| W-Airwave | In elaborazione - Accertarsi che l'hypervisor disponga delle patch appropriate. |
| Appliance hardware W-ClearPass | In elaborazione |
| Appliance virtuali W-ClearPass | In elaborazione - Accertarsi che l'hypervisor disponga delle patch appropriate. |
| Software W-ClearPass 100 | In elaborazione |
Riferimenti esterni
- Avviso di sicurezza Intel - Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Blog Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Indicazioni per lo sviluppatore per Spectulative Store Bypass: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Sito Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Cause
-
Resolution
-
Article Properties
Affected Product
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Last Published Date
30 Aug 2023
Version
7
Article Type
Solution