Article Number: 000177816
DSA-2019-089: Aviso de segurança do servidor Dell EMC para Intel-SA-00233
Summary: Os servidores Dell EMC precisam de uma atualização de segurança para solucionar as vulnerabilidades na amostragem de dados microarquitetônicos da Intel. Para obter informações específicas sobre as plataformas afetadas e as próximas etapas para aplicação das atualizações, consulte este guia. ...
Article Content
Symptoms
Identificador de DSA: DSA-2019-089
Identificador de CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091Severity
Médio
Classificação de severidade: Pontuação básica do CVSS V3: Consulte NVD (http://NVD.NIST.gov/) para pontuações individuais para cada CVE
produtos afetados:
Servidores Dell EMC (consulte a seção de resolução abaixo para obter uma lista completa dos produtos afetados)
Os servidores Dell EMC precisam de uma atualização de segurança para solucionar as vulnerabilidades de amostragem de dados microarquitetônicos da Intel.
As atualizações estarão disponíveis para resolver as seguintes vulnerabilidades de segurança. Vulnerabilidades de amostragem de dados de microarquitetura Intel
Para obter mais informações sobre qualquer uma das vulnerabilidades e exposições comuns (CVEs) mencionadas aqui, consulte a base de dados nacional sobre vulnerabilidade (NVD) em http://NVD.NIST.gov/home.cfm. Para pesquisar um CVE em particular, use o utilitário de pesquisa do banco de dados em http://Web.NVD.NIST.gov/View/vuln/Search.
A seguir, uma lista de produtos impactados e datas de lançamento esperadas. A Dell recomenda que todos os clientes atualizem a primeira oportunidade.
Existem dois componentes essenciais que precisam ser aplicados para reduzir as vulnerabilidades mencionadas acima:
Visite o site de drivers e downloads para ver se há atualizações nos produtos aplicáveis. Observe que há links na lista de produtos afetados com as atualizações de BIOS lançadas. Para saber mais, consulte o artigo da base de conhecimento da Dell atualizar uma Dell driver ou Firmware PowerEdge diretamente do sistema operacional (Windows e Linux)e fazer download da atualização para o seu computador Dell.
Os clientes podem usar uma das Dell soluções de notificação a serem notificadas e fazer download de driver, BIOS e atualizações de firmware automaticamente uma vez disponíveis.
Referências adicionais:
Notas:
Nota: as plataformas 14G com processadores em cascata do lago não são afetadas por essa vulnerabilidade MDS (Intel-SA-00233) à medida que elas incorporam a atenuação no hardware no lado do hardware.
Dell EMC o armazenamento do ME4 PowerVault não é afetado por esta vulnerabilidade de MDS (Intel-SA-00233).
Identificador de CVE: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091Severity
Médio
Classificação de severidade: Pontuação básica do CVSS V3: Consulte NVD (http://NVD.NIST.gov/) para pontuações individuais para cada CVE
produtos afetados:
Servidores Dell EMC (consulte a seção de resolução abaixo para obter uma lista completa dos produtos afetados)
Os servidores Dell EMC precisam de uma atualização de segurança para solucionar as vulnerabilidades de amostragem de dados microarquitetônicos da Intel.
As atualizações estarão disponíveis para resolver as seguintes vulnerabilidades de segurança. Vulnerabilidades de amostragem de dados de microarquitetura Intel
- CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Para obter mais informações sobre qualquer uma das vulnerabilidades e exposições comuns (CVEs) mencionadas aqui, consulte a base de dados nacional sobre vulnerabilidade (NVD) em http://NVD.NIST.gov/home.cfm. Para pesquisar um CVE em particular, use o utilitário de pesquisa do banco de dados em http://Web.NVD.NIST.gov/View/vuln/Search.
A seguir, uma lista de produtos impactados e datas de lançamento esperadas. A Dell recomenda que todos os clientes atualizem a primeira oportunidade.
Existem dois componentes essenciais que precisam ser aplicados para reduzir as vulnerabilidades mencionadas acima:
- Aplique a atualização do BIOS listada na seção de servidores Dell EMC afetados, abaixo.
- Aplique o patch do sistema operacional apropriado. Esse procedimento é necessário para atenuar as vulnerabilidades relacionadas ao Intel-SA-00233.
Visite o site de drivers e downloads para ver se há atualizações nos produtos aplicáveis. Observe que há links na lista de produtos afetados com as atualizações de BIOS lançadas. Para saber mais, consulte o artigo da base de conhecimento da Dell atualizar uma Dell driver ou Firmware PowerEdge diretamente do sistema operacional (Windows e Linux)e fazer download da atualização para o seu computador Dell.
Os clientes podem usar uma das Dell soluções de notificação a serem notificadas e fazer download de driver, BIOS e atualizações de firmware automaticamente uma vez disponíveis.
Referências adicionais:
- Orientação de segurança de software para desenvolvedores:https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
- Intel Security First – página do MDS: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
- Centro de segurança da Intel: https://security-center.intel.com
- Resposta da AMD ao CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout e Rogue In-Flight Data Load (RIDL)): https://www.amd.com/en/corporate/product-security
- VMware: https://www.vmware.com/security/advisories/VMSA-2019-0008.html
- Microsoft: https://support.microsoft.com/en-us/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
- Red Hat: https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it
- SuSe: https://www.suse.com/security/cve/CVE-2018-12126/
- Ubuntu: https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
Notas:
- As datas listadas são as datas previstas de disponibilidade e estão sujeitas a alterações sem aviso prévio.
- A lista de plataformas para os produtos de servidores Dell EMC será atualizada periodicamente. Verifique frequentemente se as informações são as mais atualizadas.
- A tabela abaixo apresenta as primeiras versões com as atualizações para resolver as vulnerabilidades de segurança. Esta e as próximas versões incluirão as atualizações de segurança.
- As datas de versão abaixo estão no formato brasileiro DD/MM/AAAA.
- As datas esperadas de versão estão no formato MM/AAAA.
Nota: as plataformas 14G com processadores em cascata do lago não são afetadas por essa vulnerabilidade MDS (Intel-SA-00233) à medida que elas incorporam a atenuação no hardware no lado do hardware. Dell EMC o armazenamento do ME4 PowerVault não é afetado por esta vulnerabilidade de MDS (Intel-SA-00233).
Produtos de servidores Dell EMC afetados
| Product |
Versão de atualização do BIOS (ou posterior) |
Data da versão/ Data de lançamento (DD/MM/AAAA) |
| Modelos R640, R740, R740XD, R940, NX3240, NX3340: |
2.2.10 |
30/05/2019 |
| XC740XD, XC640, XC940 |
2.2.10 |
31/05/2019 |
| R540, R440, T440, XR2 |
2.2.9 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| R840, R940xa |
2.2.10 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| C6420, XC6420 |
2.2.9 |
31/05/2019 |
| FC640, M640, M640P |
2.2.9 |
31/05/2019 |
| 2.2.9 |
31/05/2019 |
|
| 2.2.9 |
31/05/2019 |
|
| 2.2.9 |
31/05/2019 |
|
| T140, T340, R240, R340, NX440 |
1.2.0 |
31/05/2019 |
| DSS9600, DSS9620, DS9630 |
2.2.10 |
31/05/2019 |
| 1.10.5 |
10/09/2019 |
|
| T130, R230, T330, R330, NX430 |
2.7.1 |
10/09/2019 |
| R930 |
2, 7,2 |
10/2019 |
| R730, R730XD, R630 |
2.10.5 |
18/09/2019 |
| NX3330, NX3230, DSMS630, DSMS730 |
2.10.5 |
10/09/2019 |
| XC730, XC703XD, XC630 |
2.10.5 |
09/2019 |
| 2.10.5 |
06/09/2019 |
|
| M630, M630P, FC630 |
2.10.5 |
06/09/2019 |
| 2.10.5 |
07/09/2019 |
|
| M830, M830P, FC830 |
2.10.5 |
06/09/2019 |
| 2.10.5 |
10/09/2019 |
|
| R530, R430, T430 |
2.10.5 |
10/09/2019 |
| XC430, XC430Xpress |
2.10.5 |
10/09/2019 |
| 1.10.5 |
19/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2.10.5 |
10/09/2019 |
|
| 2,0 2 |
10/09/2019 |
|
| 1.1.0 | 10/09/2019 |
|
| DSS1500, DSS1510, DSS2500 |
2, 10,3 |
27/06/2019 |
| DSS7500 |
2, 10,3 |
09/2019 |
| 1.9.0 |
01/10/2019 |
|
| 2.6.0 |
24/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| R320, NX400 |
2.7.0 |
19/09/2019 |
| 2.7.0 |
19/09/2019 |
|
| 2.7.0 |
19/09/2019 |
|
| 1.11.0 |
25/09/2019 |
|
| R720, R720XD, NX3200, XC720XD |
2.8.0 |
01/10/2019 |
| R620, NX3300 |
2.8.0 |
09/09/2019 |
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
09/09/2019 |
|
| 2.8.0 |
19/09/2019 |
|
| A20 |
06/09/2019 |
|
| 1.5.0 |
19/09/2019 |
|
| 2, 5,7 |
19/09/2019 |
|
| 2.10.0 |
19/09/2019 |
|
| C8220, C8220X |
2.10.0 |
19/09/2019 |
Classificação de gravidade:
Para ver uma explicação das classificações de gravidade, consulte a Política de divulgação de vulnerabilidade da Dell. Dell EMC recomenda que todos os clientes leve em conta a pontuação básica e quaisquer pontuações temporais e ambientais relevantes que possam afetar a severidade potencial associada a uma vulnerabilidade de segurança específica.
Informações legais:
a Dell recomenda que todos os usuários determinem a aplicabilidade dessas informações a suas situações individuais e tomem a ação apropriada. As informações contidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive garantias de comerciabilidade, adequação a um propósito específico, título e não violação. Em nenhuma circunstância, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido alertados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.
Cause
Resolution
Article Properties
Affected Product
Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange
Last Published Date
10 Mar 2021
Version
3
Article Type
Solution