DSA-2019-089 : Bulletin de sécurité de la plate-forme de serveur Dell EMC pour Intel-SA-00233
Summary: Les serveurs Dell EMC requièrent une mise à jour de sécurité pour résoudre les vulnérabilités MDS (Microarchitectural Data Sampling) Intel. Pour des informations spécifiques relatives aux plates-formes concernées et les étapes suivantes pour appliquer les mises à jour, reportez-vous à ce guide. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
ID DSA : DSA-2019-089
Identifiant CVE : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Gravité : Douleur moyenne
Indice de gravité : Score de base CVSS v3 : Reportez-vous à la section NVD (http://nvd.nist.gov/) pour obtenir des scores individuels pour chaque CVE
concernée par les produits :
Serveurs Dell EMC (reportez-vous à la section « Résolution » ci-dessous pour obtenir la liste complète des produits concernés)
Résumé :
Les serveurs Dell EMC nécessitent une mise à jour de sécurité pour résoudre les failles de sécurité d’échantillonnage des données microarchitecturales Intel.
Détails:
Des mises à jour seront disponibles pour corriger les failles de sécurité suivantes.
Intel-SA-00233 : Failles de sécurité liées à l’échantillonnage des données microarchitecturales Intel
Pour plus d’informations sur les vulnérabilités et expositions courantes (CVE) mentionnées ici, consultez la base de données nationale sur les vulnérabilités (NVD) à l’adresse http://nvd.nist.gov/home.cfm. Pour rechercher une CVE particulière, utilisez l’utilitaire de recherche de la base de données à http://web.nvd.nist.gov/view/vuln/search.
Résolution :
La liste ci-dessous répertorie les produits concernés et les dates de publication attendues. Dell recommande à tous les clients d’effectuer la mise à jour dès que possible.
Deux composants essentiels doivent être appliqués pour atténuer les failles de sécurité mentionnées ci-dessus :
Rendez-vous sur le site Pilotes et téléchargements pour obtenir des mises à jour sur les produits concernés. NB : dans la liste suivante, les produits affectés avec les mises à jour du BIOS sont liés. Pour en savoir plus, consultez l’article de la base de connaissances Dell Mise à jour d’un pilote ou d’un firmware Dell PowerEdge directement à partir du système d’exploitation (Windows et Linux) et téléchargez la mise à jour pour votre ordinateur Dell.
Les clients peuvent utiliser l’une des solutions de notification Dell pour être avertis et télécharger automatiquement les mises à jour des pilotes, du BIOS et du firmware dès qu’elles sont disponibles.
Références supplémentaires :
Notes:
Remarque : Les plates-formes 14G équipées de processeurs Cascade Lake ne sont pas affectées par cette faille de sécurité MDS (Intel-SA-00233), car elles intègrent des atténuations de canal latéral dans le matériel.
Le stockage Dell EMC PowerVault ME4 n’est pas affecté par cette faille de sécurité MDS (Intel-SA-00233).
Identifiant CVE : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Gravité : Douleur moyenne
Indice de gravité : Score de base CVSS v3 : Reportez-vous à la section NVD (http://nvd.nist.gov/) pour obtenir des scores individuels pour chaque CVE
concernée par les produits :
Serveurs Dell EMC (reportez-vous à la section « Résolution » ci-dessous pour obtenir la liste complète des produits concernés)
Résumé :
Les serveurs Dell EMC nécessitent une mise à jour de sécurité pour résoudre les failles de sécurité d’échantillonnage des données microarchitecturales Intel.
Détails:
Des mises à jour seront disponibles pour corriger les failles de sécurité suivantes.
Intel-SA-00233 : Failles de sécurité liées à l’échantillonnage des données microarchitecturales Intel
- CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091
Pour plus d’informations sur les vulnérabilités et expositions courantes (CVE) mentionnées ici, consultez la base de données nationale sur les vulnérabilités (NVD) à l’adresse http://nvd.nist.gov/home.cfm. Pour rechercher une CVE particulière, utilisez l’utilitaire de recherche de la base de données à http://web.nvd.nist.gov/view/vuln/search.
Résolution :
La liste ci-dessous répertorie les produits concernés et les dates de publication attendues. Dell recommande à tous les clients d’effectuer la mise à jour dès que possible.
Deux composants essentiels doivent être appliqués pour atténuer les failles de sécurité mentionnées ci-dessus :
- Appliquez la mise à jour du BIOS répertoriée dans la section Serveurs Dell EMC concernés ci-dessous.
- Appliquez le correctif du système d’exploitation applicable. Cette étape permet de limiter l’impact des vulnérabilités associées Intel-SA-00233.
Rendez-vous sur le site Pilotes et téléchargements pour obtenir des mises à jour sur les produits concernés. NB : dans la liste suivante, les produits affectés avec les mises à jour du BIOS sont liés. Pour en savoir plus, consultez l’article de la base de connaissances Dell Mise à jour d’un pilote ou d’un firmware Dell PowerEdge directement à partir du système d’exploitation (Windows et Linux) et téléchargez la mise à jour pour votre ordinateur Dell.
Les clients peuvent utiliser l’une des solutions de notification Dell pour être avertis et télécharger automatiquement les mises à jour des pilotes, du BIOS et du firmware dès qu’elles sont disponibles.
Références supplémentaires :
- Conseils de sécurité logicielle à l’usage des développeurs : https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling
- Intel Security First – page MDS : https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
- Centre de sécurité Intel : https://security-center.intel.com
- Réponse d’AMD aux vulnérabilités CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Fallout and Rogue In-Flight Data Load (RIDL)) : https://www.amd.com/en/corporate/product-security
- VMware : https://www.vmware.com/security/advisories/VMSA-2019-0008.html
- Microsoft : https://support.microsoft.com/fr-fr/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel
- Red Hat : https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it
- SuSe : https://www.suse.com/security/cve/CVE-2018-12126/
- Ubuntu : https://blog.ubuntu.com/2019/05/14/ubuntu-updates-to-mitigate-new-microarchitectural-data-sampling-mds-vulnerabilities
Notes:
Les dates indiquées sont des dates de disponibilité estimées et peuvent être modifiées sans préavis.
La liste des plates-formes pour les produits de serveurs Dell EMC sera mise à jour régulièrement. Veuillez consulter régulièrement les informations pour connaître les plus récentes.
Les versions de mise à jour dans le tableau ci-dessous sont les premières versions avec les mises à jour destinées à résoudre les failles de sécurité. Toutes les versions supérieures incluent ces mises à jour de sécurité.
Les dates de sortie ci-dessous sont au format américain MM/JJ/AAAA.
Les dates de sortie prévues sont au format MM/AAAA.
Remarque : Les plates-formes 14G équipées de processeurs Cascade Lake ne sont pas affectées par cette faille de sécurité MDS (Intel-SA-00233), car elles intègrent des atténuations de canal latéral dans le matériel.
Le stockage Dell EMC PowerVault ME4 n’est pas affecté par cette faille de sécurité MDS (Intel-SA-00233).
Produits serveur Dell EMC concernés
|
Product (Produit) |
Version de mise à jour |
Date de version/ Date |
|
2.2.10 |
30/05/19 |
|
|
2.2.10 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.10 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
2.2.9 |
31/05/2019 |
|
|
1.2.0 |
31/05/2019 |
|
|
2.2.10 |
31/05/2019 |
|
1.10.5 |
10/09/2019 |
|
|
2.7.1 |
10/09/2019 |
|
|
R930 |
2.7.2 |
10/2019 |
|
2.10.5 |
18/09/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
C730, XC703XD, XC630 |
2.10.5 |
09/2019 |
|
2.10.5 |
06/09/2019 |
|
|
2.10.5 |
06/09/2019 |
|
|
2.10.5 |
09/07/2019 |
|
|
2.10.5 |
06/09/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
1.10.5 |
09/19/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
2.10.5 |
10/09/2019 |
|
|
2.2.0 |
10/09/2019 |
|
| 1.1.0 |
10/09/2019 |
|
|
2.10.3 |
27/06/2019 |
|
|
DSS7500 |
2.10.3 |
09/2019 |
|
1.9.0 |
10/1/2019 |
|
|
2.6.0 |
09/24/2019 |
|
|
2.7.0 |
09/19/2019 |
|
|
2.7.0 |
09/19/2019 |
|
|
R320, NX400 |
2.7.0 |
09/19/2019 |
|
2.7.0 |
09/19/2019 |
|
|
2.7.0 |
09/19/2019 |
|
|
1.11.0 |
09/25/2019 |
|
|
2.8.0 |
10/1/2019 |
|
|
R620, NX3300 |
2.8.0 |
09/09/2019 |
|
2.8.0 |
09/09/2019 |
|
|
2.8.0 |
09/09/2019 |
|
|
2.8.0 |
09/09/2019 |
|
|
2.8.0 |
09/09/2019 |
|
|
2.8.0 |
09/19/2019 |
|
|
A20 |
06/09/2019 |
|
|
1.5.0 |
09/19/2019 |
|
|
2.5.7 |
09/19/2019 |
|
|
2.10.0 |
09/19/2019 |
|
|
2.10.0 |
09/19/2019 |
Indice de gravité :
Pour plus d’informations sur les indices de gravité, reportez-vous à la Politique de divulgation des vulnérabilités de Dell. Dell EMC recommande à tous les clients de prendre en compte à la fois le score de base et tous les scores temporels et environnementaux pertinents susceptibles d’avoir un impact sur la gravité potentielle associée à une faille de sécurité particulière.
Informations légales :
Dell recommande à tous les utilisateurs de déterminer si ces informations sont applicables à leur situation personnelle et de prendre les mesures appropriées. Les informations définies dans le présent document sont fournies « en l’état » sans garantie d’aucune sorte. Dell décline toute garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier, de titre et de non-infraction. En aucun cas, Dell ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris en cas de dommages directs, indirects, induits ou accidentels, de perte d’exploitation ou de dommages spéciaux, même si Dell ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains états ne permettent pas l’exclusion ou la limitation de responsabilité pour les dommages consécutifs ou accidentels. Par conséquent, la limitation ci-dessus peut ne pas s’appliquer.
Cause
Resolution
Affected Products
Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & MidrangeArticle Properties
Article Number: 000177816
Article Type: Solution
Last Modified: 23 Sep 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.