DSA-2019-152 Intel-SA-00233のDell EMCネットワーキング セキュリティ アップデート

CVE識別子：CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091

DSA識別子: DSA-2019-152

の重大度: 重大度(中)

の評価: CVSS v3 の基本スコア: 各CVEの個々のスコアについては、NVD(http://nvd.nist.gov/ )を参照してください

対象製品: 

［Summary］：
 

Details: 

次のセキュリティ脆弱性に対処するためのアップデートが入手可能です:

Intel-SA-00233 : インテル マイクロアーキテクチャ データ サンプリングの脆弱性

•     CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091
  
  ここに記載されている共通脆弱性識別子(CVE)の詳細については、 http://nvd.nist.gov/home.cfm のNational Vulnerability Database (NVD)を参照してください。特定のCVEを検索するには、http://web.nvd.nist.gov/view/vuln/search にあるデータベースの検索ユーティリティーを使用します。 
   

  
  解決策: 

  
  以下は、影響を受ける製品とリリース予定日のリストです。すべてのお客様が、できる限り早い機会にアップデートすることを推奨します。
  
  前述の脆弱性を軽減するために適用する必要がある重要なコンポーネントが2つあります。
  
  1.次の「影響を受けるDell EMCネットワーキング製品」セクションにリストされているファームウェア アップデートを適用してください。
  2.該当するオペレーティング システムのパッチを適用してください。これは、Intel-SA-00233関連の脆弱性を軽減するために必要です。
  
  的確な情報の把握および軽減方法などの詳細情報については、インテル・セキュリティ・アドバイザリを参照することを推奨します。
  
  該当製品のアップデートについては、ドライバーおよびダウンロードサイトを参照してください。詳細については、Dellナレッジベース記事「 Dell Update Package」を参照して、お使いのDell製コンピューター用のアップデートをダウンロードしてください。
  
  デルの通知ソリューションを利用すれば、通知を受け、ドライバー、BIOS、ファームウェアの各アップデートが提供開始になった時点で自動的にダウンロードできるようになります。
   

  
  その他のリファレンス:

  
  - 開発者向けソフトウェア セキュリティ ガイダンス: https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
  - Intel Security First – MDS ページ: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
  - インテル セキュリティ センター:https://security-center.intel.com
  - CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091 (Fallout and Rogue In-Flight Data Load (RIDL)) に対する AMD の対応: https://www.amd.com/en/corporate/product-security
  - VMware:https://www.vmware.com/security/advisories/VMSA-2019-0008.html
  - マイクロソフト:https://support.microsoft.com/en-us/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
  - Red Hat:
  https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it - SuSe:https://www.suse.com/security/cve/CVE-2018-12126/
  - Ubuntu:https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities            
  
   

   

  メモ: アップデートをインストールする前に、リリース ノートに記載されているインストール手順を確認してください。

   

   

  メモ: リストの日付は利用可能になる予定日であり、予告なく変更されることがあります。

   

   

  メモ: Dell EMCネットワーキング製品のプラットフォーム リストは、定期的に更新されます。最新の情報を頻繁に確認してください。

   

   

  メモ: 次の表のアップデート バージョンは、セキュリティ脆弱性対応アップデートが入っている最初のリリースです。このバージョン以降のリリースには、セキュリティ アップデートが含まれています。

   

   

  メモ: 日付は米国形式のMM/DD/YYYYになっています。

   

   

  影響を受けるDell EMCネットワーキング製品：

   

  製品	アップデート バージョン (またはそれ以降)	リリース日/ リリース予定日 (YYYY年MM月)
  PowerSwitch Z9264F-ON	まだ利用できません。	TBD
  PowerSwitch S5212F-ON	使用できる	10/01/2019
  PowerSwitch S5224F-ON	使用できる	10/01/2019
  PowerSwitch S5232F-ON	使用できる	10/01/2019
  PowerSwitch S5248F-ON	使用できる	10/01/2019
  PowerSwitch S5296F-ON	使用できる	10/01/2019
  VEP4600	使用できる	09/05/2019
  VEP1400	使用できる	09/05/2019

   

  
  重大度の評価：  

  
  重要度の評価の説明については、デルの脆弱性開示ポリシーを参照してください。Dell EMCは、ベーススコアの他に、特定のセキュリティ脆弱性に関係がある重大度に影響を与える可能性がある、関連の一時的な環境スコアも考慮することを推奨しています。

  
  法的情報：

  
  デルは、すべてのユーザーが個々の状況に対してこの情報が当てはまるかどうかを判断し、適切な措置を講じることを推奨しています。ここに記載されている情報は「現状のまま」提供され、いかなる保証も伴いません。デルは、市販性、特定目的への適合性、権原、および非侵害の保証を含む、明示的か黙示的かを問わず、すべての保証を放棄します。デルとそのサプライヤーは、当該損害の可能性について報告を受けていたとしても、直接的、間接的、付随的、派生的な損害、営業利益の損失、または特別な損害を含むあらゆる損害について、いかなる場合も一切の責任を負いません。一部の州では、派生的な損害または付随的な損害の免責または責任の制限が認められていません。このため、前述の制限が適用されないことがあります。

-

-