Vulnerabilidades de canal lateral do microprocessador (CVE-2017-5715, CVE-2017-5753 e CVE-2017-5754): Impacto sobre os servidores, o armazenamento e o sistema de rede da Dell Technologies

Summary: Orientação da Dell Technologies para reduzir o risco e a resolução das vulnerabilidades de análise de canal lateral (também conhecidas como Meltdown e Spectre) para servidores, armazenamento e produtos de rede. Para obter informações específicas sobre as plataformas afetadas e as próximas etapas para aplicar as atualizações, consulte este guia. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

21/11/2018

ID de CVE: CVE-2017-5715, CVE-2017-5753 e CVE-2017-5754

A Dell Technologies está ciente das vulnerabilidades de análise de canal lateral (também conhecidas como Meltdown e Spectre) que afetam muitos microprocessadores modernos, que foram descritas publicamente por uma equipe de pesquisadores de segurança em 3 de janeiro de 2018. Recomendamos que os clientes analisem os Informes de segurança na seção Referências para obter mais informações.

Nota: Orientação de patch (atualização 08/02/2018):

a Dell Technologies recebeu um novo microcódigo da Intel, conforme comunicado emitido em 22 de janeiro. A Dell Technologies está emitindo novas atualizações do BIOS para as plataformas afetadas para lidar com o Spectre (Variante 2), CVE-2017-5715. As Tabelas de produtos foram atualizadas e serão atualizadas sempre que mais microcódigos forem lançados pela Intel. Se o seu produto tiver um BIOS atualizado listado, a Dell Technologies recomenda que você faça upgrade para esse BIOS e aplique as atualizações apropriadas do sistema operacional para reduzir o Meltdown e o Spectre.
 
Se o seu produto não tiver um BIOS atualizado listado, a Dell Technologies ainda aconselha que os clientes não implementem as atualizações de BIOS lançadas anteriormente e esperem pela versão atualizada.

Se você já tiver implementado uma atualização do BIOS que pode ter problemas, de acordo com o aviso da Intel de 22 de janeiro, para evitar um comportamento imprevisível do sistema, poderá reverter para uma versão anterior do BIOS. Veja as tabelas abaixo.

Lembrete: os patches do sistema operacional não são afetados e ainda fornecem mitigação para o Spectre (variante 1) e o Meltdown (variante 3). A atualização do microcódigo é necessária apenas para o Spectre (Variante 2), CVE-2017-5715.

  Há dois componentes essenciais que devem ser aplicados para mitigar as vulnerabilidades mencionadas acima:

  1. BIOS de sistema conforme as Tabelas abaixo
  2. Atualizações do sistema operacional e do hypervisor.
Recomendamos aos clientes analisar o comunicado de segurança apropriado do fornecedor do hypervisor/sistema operacional. A seção Referências abaixo contém links para alguns desses fornecedores.

A Dell Technologies recomenda que os clientes sigam as práticas recomendadas de segurança para proteção contra malware em geral para se protegerem contra a possível exploração desses métodos de análise até que quaisquer atualizações futuras possam ser aplicadas. Essas práticas incluem adotar prontamente as atualizações de software, evitar hiperlinks e sites não reconhecidos, proteger o acesso a contas privilegiadas e seguir protocolos de senha segura.
 

Produtos Dell que não precisam de patches ou correções para essas três vulnerabilidades de CVE

|

 
 
 
Linha de produtos Dell Storage
Avaliação
Equallogic Série PS A CPU usada nesse produto não implementa a execução especulativa, portanto, as vulnerabilidades não se aplicam a esse hardware.
Série SC da Dell EMC (Dell Compellent) O acesso ao sistema operacional da plataforma para carregar código externo é restrito; Não é possível executar código mal-intencionado.
Dell Storage série MD3 e DSMS MD3 O acesso ao sistema operacional da plataforma para carregar código externo é restrito; Não é possível executar código mal-intencionado.
Unidades de fita e bibliotecas do Dell PowerVault O acesso ao sistema operacional da plataforma para carregar código externo é restrito; Não é possível executar código mal-intencionado.
Dell Storage série FluidFS (inclui: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) O acesso ao sistema operacional da plataforma para carregar código externo é restrito apenas a contas privilegiadas.
Código mal-intencionado não pode ser executado, desde que as melhores práticas para proteger o acesso de contas privilegiadas sejam seguidas.
 

 
 
 
Appliance virtual Dell Storage
Avaliação
Equipamento virtual Dell Storage Manager (DSM, VA — Dell Compellent) Esses dispositivos virtuais não fornecem acesso a usuários gerais. 
Eles são únicos de usuário único e somente para o usuário root, portanto, não apresentam nenhum risco de segurança adicional a um ambiente. 
O sistema host e o hypervisor devem ser protegidos; consulte os links do fornecedor e as declarações de melhores práticas, acima.
 
Ferramentas de integração de armazenamento da Dell para VMware (Dell Compellent)
Gerenciador de armazenamento virtual Dell EqualLogic (VSM - EqualLogic)


Gerenciamento de sistemas para produtos de servidor PowerEdge
 
 
 
Componente
Avaliação
 iDRAC: 14G, 13G, 12G, 11G  
Não é afetado.
O iDRAC é um sistema fechado que não permite a execução de código externo de terceiros.
 Chassis Management Controller (CMC): 14G, 13G, 12G, 11G  
Não é afetado.
O CMC é um sistema fechado que não permite a execução de código externo de terceiros.

Plataformas Avaliação
 
Passagem Ethernet 10Gb da Dell
Esses produtos são appliances de usuário único e somente para o usuário root. Os problemas relatados não apresentam nenhum risco de segurança adicional ao ambiente de um cliente, desde que as melhores práticas recomendadas para proteger o acesso de contas altamente privilegiadas sejam seguidas.
Pass-through Ethernet de 10 Gb-K da Dell
Pass-through Ethernet da Dell
Pass-through FC8
Force10 MXL Blade
PowerConnect M6220
PowerConnect M6348
PowerConnect M8024
PowerConnect M8024-K
Plataformas Avaliação
 
Brocade M5424, M6505, M8428-k Declaração do fornecedor
Cisco Catalyst 3032, 3130, 3130G, 3130X Declaração do fornecedor
Extensor de malha de blade Cisco Catalyst Nexus B22 Dell Declaração do fornecedor

Plataformas Avaliação
 
C1048P, C9010

Esses produtos são appliances de usuário único e somente para o usuário root. Os problemas relatados não apresentam nenhum risco de segurança adicional ao ambiente de um cliente, desde que as melhores práticas recomendadas para proteger o acesso de contas altamente privilegiadas sejam seguidas.
Agregador E/S M
MXL
FX2
N11xx, N15xx, N20xx, N30xx,
N2128PX, N3128PX
S55, S60
S3048-On OS9, S3048-on OS10 Enterprise, S3100, S3124F, S3124P, S3148P
S4048, S4048-ON OS9, S4048-ON OS10 Enterprise, S4048T-ON OS9, S4048T-ON OS10 Enterprise
S4128F-ON, S4148F-ON, S4128T-ON, S4148T-ON, S4148U-ON, S4148FE-ON, S4148FB, S4248FBL
S5048, S5048F-ON, S5148F
S6000, S6000-ON OS9, S6010-ON OS9, S6010-ON OS10 Enterprise, S6100-ON
SIOM
Z9000, Z9100 OS9, Z9100 OS10 Enterprise

Plataformas Avaliação
 
PowerConnect 2016, 2124, 2216, 2224, 2324, 2508, 2608 2616, 2624

Esses produtos são appliances de usuário único e somente para o usuário root. Os problemas relatados não apresentam nenhum risco de segurança adicional ao ambiente de um cliente, desde que as melhores práticas recomendadas para proteger o acesso de contas altamente privilegiadas sejam seguidas.
PowerConnect 2708, 2716, 2724, 2748, 2808, 2816, 2824, 2848
PowerConnect 3024, 3048, 3248, 3324, 3348
PowerConnect 3424, 3424P, 3448, 3448P, 3524, 3524P, 3548, 3548P
PowerConnect 5012, 5212, 5224, 5316M, 5324, 5424, 5448, 5524, 5524P, 5548, 5548P
PowerConnect 6024, 6024F, 6224, 6224F, 6224P, 6248, 6248P
PowerConnect 7024, 7024F, 7024P, 7048, 7048P, 7048R
PowerConnect séries 8024, 8024F, 8100
PowerConnect B-8000, B-8000e, B-FCXs, B-T124X
PowerConnect J-EX4200, J-EX4200-24F, J-EX4200-24t, J-EX4200-48t, J-EX4500
PowerConnect J-SRX100, J-SRX210, SRX240
Placas de linha série C9000
Plataformas Avaliação
 
Brocade 300, 4424 Switch Fi, 5100, 5300 Declaração do fornecedor
Brocade 6505, 6510, 6520, G620 Declaração do fornecedor
Cisco Catalyst 3750E-48TD, 4900M, 4948-10GE Declaração do fornecedor

Plataformas Avaliação
 
Controlador de malha ativa Software não afetado
Gerenciador de fabric ativo Software não afetado
Plug-in vCenter do Dell Networking Software não afetado
Dell OpenManage Network Manager Software não afetado
Automação aberta Software não afetado
Funcionamento em rede definido por software Software não afetado
 
Nota: As tabelas abaixo listam os produtos para os quais há orientações disponíveis sobre BIOS/firmware/driver. Essas informações são atualizadas à medida que outras informações estão disponíveis. Se você não vir sua plataforma, verifique mais tarde.

O BIOS do servidor pode ser atualizado usando o iDRAC. Para obter mais informações, consulte o artigo da Base de conhecimento Dell, Como atualizar o firmware remotamente usando a interface Web do Integrated Dell Remote Access Controller (iDRAC) ou diretamente do sistema operacional, ou para obter mais informações, consulte o artigo da Base de conhecimento Dell Atualizar um driver ou firmware do Dell PowerEdge diretamente do sistema operacional (Windows e Linux).
Para obter métodos adicionais, consulte o artigo da base de conhecimento da Dell Atualização de firmware e drivers em servidores Dell PowerEdge.

Estas são as versões mínimas necessárias do BIOS.

Atualizações de BIOS/Firmware/Driver para o servidor PowerEdge e produtos de funcionamento em rede

Geração Modelos Versão do BIOS
14G R740, R740XD, R640, R940 XC740XD, XC640 1.3.7
R540, R440, T440, XR2 1.3.7
T640 1.3.7
C6420 1.3.7
FC640, M640, M640P 1.3.7
C4140 1.1.6
R6415, R7415 1.0.9
R7425 1.0.9

Geração Modelos Versão do BIOS
13G R830 1.7.1
T130, R230, T330, R330, NX430 2.4.3
R930 2.5.1
R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 2.7.1
C4130 2.7.1
M630, M630P, FC630 2.7.1
FC430 2.7.1
M830, M830P, FC830 2.7.1
T630 2.7.1
R530, R430, T430, XC430, XC430Xpress 2.7.1
R530XD 1.7.0
C6320, XC6320 2.7.1
C6320P 2.0.5
T30 1.0.12

Geração Modelos Versão do BIOS
12 G R920 1.7.1
R820 2.4.1
R520 2.5.1
R420 2.5.1
R320, NX400 2.5.1
T420 2.5.1
T320 2.5.1
R220 1.10.2
R720, R720XD, NX3200, XC720XD 2.6.1
R620, NX3300 2.6.1
M820 2.6.1
M620 2.6.1
M520 2.6.1
M420 2.6.1
T620 2.6.1
FM120x4 1.7.0
T20 A16
C5230 1.3.1
C6220 2.5.5
C6220II 2.8.1
C8220, C8220X 2.8.1

Geração Modelos Versão do BIOS
11G R710 6.5.0
NX3000 6.6.0***
R610 6.5.0
T610 6.5.0
R510 1.13.0
NX3100 1.14.0***
R410 1.13.0
NX300 1.14.0***
T410 1.13.0
R310 1.13.0
T310 1.13.0
NX200 1.14.0***
T110 1.11.1
T110-II 2.9.0
R210 1.11.0
R210-II 2.9.0
R810 2.10.0
R910 2.11.0
T710 6.5.0
M610, M610X 6.5.0
M710 6.5.0
M710HD 8.3.1
M910 2.11.0
C1100 3B24
C2100 3B24
C5220 2.2.0
C6100 1.80
R415 2.4.1
R515 2.4.1
R715 3.4.1
R815 3.4.1
M915 3.3.1
C6105 2.6.0
C6145 3.6.0
Nota: ***Somente atualize o BIOS com a atualização fora do pacote em plataformas da Série 11G NX.

Modelos Versão do BIOS
DSS9600, DSS9620, DSS9630 1.3.7
DSS1500, DSS1510, DSS2500 2.7.1
DSS7500 2.7.1

Modelos Versão do BIOS/Firmware/Driver
OS10 Básico para VM No processo
OS10 Enterprise para VM No processo
Emulador de SO S No processo
Emulador de SO Z No processo
S3048-ON OS10 Básico No processo
S4048-ON OS10 Básico No processo
S4048T-ON OS10 Básico No processo
S6000-ON OS Básico No processo
S6010-ON OS10 Básico No processo
Z9100 OS10 Básico No processo
 
Funcionamento em rede - Switches de porta fixa
Plataformas Versão do BIOS/Firmware/Driver
Mellanox série SB7800, série SX6000 A Mellanox está investigando cuidadosamente os patches lançados e lançará atualizações de software quando disponíveis. Declaração do fornecedor

Modelos Versão do BIOS/Firmware/Driver
W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 Link - requer login.
Séries W-7005, W-7008, W-7010, W-7024, W-7030, W-7200, W-7205 Link - requer login.
W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 Link - requer login.
W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 Link - requer login.
W-AP68, W-AP92, W-AP93, W-AP93H Link - requer login.
W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 Link - requer login.
W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 Link - requer login.
W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 Link - requer login.
Pontos de acesso da série W - 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 Link - requer login.
Controladora W-Series AOS Link - requer login.
FIPS da série W Link - requer login.
Modelos Versão do BIOS/Firmware/Driver
Airwave W Link — requer log-in — Verifique se o Hypervisor tem os patches apropriados.
Appliances de hardware W-ClearPass Link - requer login.
Appliances virtuais W-ClearPass Link — requer log-in — Verifique se o Hypervisor tem os patches apropriados.
Software 100 W-ClearPass Link - requer login.

Atualizações de outros produtos Dell

Referências externas

Orientação de patch do sistema operacional

Links de desempenho

Perguntas frequentes (FAQ)

Pergunta: Como posso me proteger contra essas vulnerabilidades?
Resposta: Há três vulnerabilidades associadas ao Meltdown e ao Spectre. Os clientes devem implementar um patch do sistema operacional de seu fornecedor de sistema operacional para todas as três vulnerabilidades. Somente o Spectre Variant 2 (CVE-2017-5715) requer uma atualização do BIOS com o microcódigo fornecido pelo fornecedor do processador. Atualmente, a Intel ainda não tem uma atualização de microcódigo disponível para proteger contra a vulnerabilidade Spectre Variant 2.

Veja a tabela abaixo:
 

Variante para aplicação de patch

Atualização de microcódigo necessária?

Patch do sistema operacional necessário?

Spectre (variante 1)
CVE-2017-5753

Não

Sim

Spectre (variante 2)
CVE-2017-5715

Sim

Sim

Fusão (variante 3)
CVE-2017-5754

Não

Sim

Pergunta: Qual é a recomendação atual da Dell Technologies em relação à atualização dos patches do sistema operacional?
Resposta: Consulte os links de orientação de patch do fornecedor do sistema operacional.

Pergunta: A Dell Technologies tem uma lista de produtos empresariais que não foram afetados?
Resposta: A Dell Technologies tem uma lista de produtos empresariais que não são afetados. Consulte a seção Produtos Dell que não exigem patches ou correções para essas três vulnerabilidades CVE .

Pergunta: O que devo fazer se eu executar um servidor virtual?
Resposta: O hypervisor e todos os sistemas operacionais convidados devem ser atualizados.

Pergunta: Os navegadores de Internet são potencialmente afetados? (Exploração da variante 2 do JavaScript)?
Resposta: Sim, os navegadores da Internet podem ser afetados pela vulnerabilidade Spectre e a maioria dos navegadores forneceu versões ou patches atualizados para atenuar essa possível vulnerabilidade. Consulte os links abaixo para Chrome, Internet Explorer e Mozilla para obter informações adicionais.

Pergunta: E quanto ao iDRAC e à PERC?
Resposta: O PERC e o iDRAC são sistemas fechados que não permitem a execução de código de terceiros (usuário). Tanto o Spectre como o Meltdown requerem a capacidade de executar arbitrariamente um código no processador. Devido a esse arranjo de código fechado, nenhum periférico está em risco de exploração de um microprocessador de análise de canal lateral.

Pergunta: E os eletrodomésticos? Há outros aplicativos que não são afetados?
Resposta: Sistemas fechados que não permitem a execução de código de terceiros (usuário) não são vulneráveis.

Pergunta: E os processadores AMD Opteron?
Resposta: https://www.amd.com/en/corporate/speculative-execution.

Pergunta: Quando o BIOS com atualizações de microcódigo estará disponível na Dell Technologies para sistemas baseados em Intel?
Resposta: Os BIOS atualizados que contêm as atualizações de segurança do microcódigo Intel estão disponíveis para o PowerEdge 14G, 13G, 12G e alguns dos sistemas 11G.

Pergunta: Quando o BIOS estará disponível para a infraestrutura convergente em execução na tecnologia PowerEdge (VXRail etc.)
Resposta: A Dell Technologies está trabalhando para validar as atualizações de código existentes do PowerEdge para todas as plataformas de infraestrutura convergente executadas na tecnologia PowerEdge. As atualizações são fornecidas à medida que informações adicionais estão disponíveis.

Pergunta: A Dell Technologies instalará de fábrica o sistema operacional e os patches de hypervisor para servidores PowerEdge e infraestrutura convergente?
Resposta: A partir de 6 de março de 2018, a Dell instalará de fábrica as versões a seguir das atualizações do sistema operacional para ajudar a reduzir as vulnerabilidades Spectre/Meltdown. Elas são configuradas (quando possível) para proteção máxima (totalmente ativada). Às vezes, há atualizações mais recentes fornecidas pelos fornecedores.  Continue a consultar os sites do fornecedor do sistema operacional para obter orientações específicas de configuração e as atualizações e opções de configuração mais recentes à medida que elas forem disponibilizadas.  
  • Windows Server 2016: KB4056890 (Lançado em Jan 4, 2018)
  • Red Hat Software Enterprise Linux 7.4: kernel-3.10.0-693.11.6.el7.x86_64 (lançado em 4 de janeiro de 2018)
  • SuSE Linux Enterprise Server 12 SP3: kernel-default-4.4.103-6.38.1.x86_64                (lançado em 4 de janeiro de 2018)
  • VMware ESXi 6.5U1: Rev A08 Build 7388607 (contém o patch VMSA-2018-002)
  • VMware ESXi 6.0U3: Rev A08 Build 6921384 (contém o patch VMSA-2018-002)

Pergunta: Ouvi dizer que a vulnerabilidade afeta microprocessadores que remontam a pelo menos 10 anos. Até quando a Dell está oferecendo uma atualização do BIOS?
Resposta: A Dell está trabalhando com a Intel para fornecer ao BIOS necessário patches de microcódigo para sistemas PowerEdge que remontam à nossa linha de produtos de 11ª geração. Quaisquer atualizações do BIOS que contenham atualizações de microcódigo para a correção de segurança dependerão do fornecimento de atualizações de código para a Dell Technologies pelos fornecedores de processadores afetados.

Pergunta: A Dell Technologies fornecerá suporte técnico para sistemas que estão fora da garantia?
Resposta: A Dell Technologies não fornece suporte técnico para servidores Dell Technologies PowerEdge que não têm um contrato de suporte válido. Os clientes podem acessar documentos de suporte disponíveis publicamente no Suporte Dell, independentemente do status atual do contrato de suporte.

Pergunta: A Dell Technologies fornecerá patches para sistemas que estão fora da garantia?
Resposta: Os produtos de servidor PowerEdge da Dell Technologies não exigem um contrato de suporte válido para obter acesso às nossas páginas de suporte e download. As atualizações do BIOS do servidor PowerEdge estão disponíveis no site de suporte da Dell Technologies para todos os usuários, independentemente do status atual do contrato de suporte. Consulte a seção BIOS/Atualizações de firmware/driver para servidores PowerEdge e produtos de rede para ver a disponibilidade do BIOS. Os patches do sistema operacional devem ser obtidos de seu provedor de sistema operacional. Consulte os links na seção Orientação de patches do sistema operacional .

Pergunta: E os novos processadores AMD EPYC?
Resposta: Para obter declarações públicas da AMD sobre o Meltdown (CVE-2017-5754), a Spectre Variant 1 (CVE-2017-5753) e a Spectre Variant 2 (CVE-2017-5715) relacionadas aos processadores AMD, consulte https://www.amd.com/en/corporate/speculative-execution.
Para o Spectre Variant 1 (CVE-2017-5753), o patch aplicável do sistema operacional resolve esse problema.

Pergunta: Quando as atualizações do BIOS estarão disponíveis para os sistemas PowerEdge baseados em AMD EYPC afetados pelo Spectre?
Resposta: A Dell EMC lançou atualizações do BIOS para nossas plataformas 14G (R7425, R7415, & R6415), que estão disponíveis em nossas páginas de suporte ao produto. As instalações de fábrica desses BIOS estavam disponíveis em 17 de janeiro de 2018.

Pergunta: Quando o BIOS com atualizações de microcódigo Intel será instalado de fábrica nos sistemas PowerEdge baseados em Intel?  
Resposta: O BIOS do PowerEdge 14G e 13G (exceto R930) deve estar disponível até a instalação de fábrica em 6 de março de 2018.  A previsão é que o BIOS do PowerEdge R930 esteja disponível com a instalação de fábrica até 9 de março de 2018.

Pergunta: Há algum impacto sobre o desempenho dessas atualizações do BIOS e do sistema operacional?
Resposta: O aspecto chave desses ataques depende da execução especulativa, que é um recurso relacionado ao desempenho. Os impactos sobre o desempenho variam, pois dependem muito da carga de trabalho. A Dell está trabalhando com a Intel e outros fornecedores para determinar o impacto no desempenho como resultado dessas atualizações para resolvê-lo assim que disponível.

Cause

Nenhuma informação de causa disponível.

Resolution

Nenhuma informação de resolução disponível.

Affected Products

Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models
Article Properties
Article Number: 000178106
Article Type: Solution
Last Modified: 06 Sept 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.