Vulnerabilità del canale laterale del microprocessore (CVE-2018-3639 e CVE-2018-3640): Impatto su server, storage (serie SC, serie PS e PowerVault serie MD) e prodotti di rete Dell EMC PowerEdge
Riepilogo: Istruzioni di Dell EMC per ridurre i rischi e risolvere le vulnerabilità di analisi del canale laterale (note anche come Speculative Store Bypass e Rogue System Register Read) per i server e i prodotti di storage e di rete. Per informazioni specifiche sulle piattaforme interessate e i passaggi successivi per applicare gli aggiornamenti, consultare questa guida. ...
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
2018-11-09
ID CVE: CVE-2018-3639, CVE-2018-3640
Dell EMC è a conoscenza delle vulnerabilità side-channel descritte in CVE-2018-3639 (nota anche come Speculative Store Bypass) e CVE-2018-3640 (nota anche come Rogue System Register Read) che interessano molti microprocessori moderni pubblicati da Google Project Zero e Microsoft Security Response Center il 21 maggio 2018. Un utente malintenzionato senza privilegi e che dispone dell'accesso utente locale al sistema potrebbe sfruttare queste vulnerabilità per leggere i dati di memoria riservati. Per ulteriori informazioni, consultare gli aggiornamenti di sicurezza pubblicati da Intel.
Dell EMC sta esaminando l'impatto di questi problemi sui nostri prodotti. Questo articolo verrà regolarmente aggiornato con i dettagli sugli effetti e con le procedure per ridurre gli effetti una volta disponibili. I passaggi di mitigazione possono variare in base al prodotto e possono richiedere aggiornamenti al microcodice del processore (BIOS), al sistema operativo (OS), a Virtual Machine Manager (VMM) e ad altri componenti software.
Dell EMC consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware al fine di prevenire possibili exploit di queste vulnerabilità fino a quando non saranno applicati aggiornamenti futuri. Queste pratiche includono, a titolo esemplificativo, il deployment tempestivo degli aggiornamenti software, l'evitare collegamenti ipertestuali e siti Web sconosciuti, il non scaricare mai file o applicazioni da fonti sconosciute e l'utilizzo di soluzioni antivirus e di protezione dalle minacce avanzate aggiornate.
Server
Dell EMC PowerEdgeEsistono due componenti essenziali che devono essere applicati per mitigare le vulnerabilità sopra menzionate:
Le tabelle dei prodotti sono state aggiornate e verranno aggiornate non appena vengono rilasciati più microcodici da Intel. Se il prodotto elenca un BIOS aggiornato, Dell EMC consiglia di eseguire l'upgrade a tale BIOS e di applicare le patch appropriate del sistema operativo per mitigare i CVE elencati.
Hyper-converged appliance
Dell EMC XC SeriesConsulta le tabelle dei prodotti per i server PowerEdge.
Prodotti
di storage Dell EMC (serie SC, serie PS e serie PowerVault MD)Consultare le tabelle dei prodotti per le mitigazioni e l'analisi appropriate.
Prodotti
Dell EMC NetworkingConsultare le tabelle dei prodotti per le mitigazioni e l'analisi appropriate.
Per informazioni su altri prodotti Dell, consultare: Impatto di Speculative Store ByPass (CVE-2018-3639, CVE-2018-3640) sui prodotti Dell .
Nota: Le tabelle riportate di seguito elencano i prodotti per i quali sono disponibili indicazioni per BIOS/firmware/driver. Queste informazioni saranno aggiornate non appena saranno disponibili ulteriori informazioni. Se non vedi la tua piattaforma, controlla più tardi.
Il BIOS del server può essere aggiornato utilizzando iDRAC o direttamente dal sistema operativo. In questo articolo vengono forniti altri metodi.
Queste sono le versioni minime richieste del BIOS.
Gestione dei sistemi per i prodotti server PowerEdge
Aggiornare il BIOS solo utilizzando l'aggiornamento non in pacchetto sulle piattaforme della serie NX 11G.
ID CVE: CVE-2018-3639, CVE-2018-3640
Dell EMC è a conoscenza delle vulnerabilità side-channel descritte in CVE-2018-3639 (nota anche come Speculative Store Bypass) e CVE-2018-3640 (nota anche come Rogue System Register Read) che interessano molti microprocessori moderni pubblicati da Google Project Zero e Microsoft Security Response Center il 21 maggio 2018. Un utente malintenzionato senza privilegi e che dispone dell'accesso utente locale al sistema potrebbe sfruttare queste vulnerabilità per leggere i dati di memoria riservati. Per ulteriori informazioni, consultare gli aggiornamenti di sicurezza pubblicati da Intel.
Dell EMC sta esaminando l'impatto di questi problemi sui nostri prodotti. Questo articolo verrà regolarmente aggiornato con i dettagli sugli effetti e con le procedure per ridurre gli effetti una volta disponibili. I passaggi di mitigazione possono variare in base al prodotto e possono richiedere aggiornamenti al microcodice del processore (BIOS), al sistema operativo (OS), a Virtual Machine Manager (VMM) e ad altri componenti software.
Dell EMC consiglia ai clienti di seguire le best practice di sicurezza per la protezione da malware al fine di prevenire possibili exploit di queste vulnerabilità fino a quando non saranno applicati aggiornamenti futuri. Queste pratiche includono, a titolo esemplificativo, il deployment tempestivo degli aggiornamenti software, l'evitare collegamenti ipertestuali e siti Web sconosciuti, il non scaricare mai file o applicazioni da fonti sconosciute e l'utilizzo di soluzioni antivirus e di protezione dalle minacce avanzate aggiornate.
Server
Dell EMC PowerEdgeEsistono due componenti essenziali che devono essere applicati per mitigare le vulnerabilità sopra menzionate:
1. BIOS di sistema come elencato nelle tabelle riportate di seguito
2. Aggiornamenti del sistema operativo e hypervisor.
2. Aggiornamenti del sistema operativo e hypervisor.
Le tabelle dei prodotti sono state aggiornate e verranno aggiornate non appena vengono rilasciati più microcodici da Intel. Se il prodotto elenca un BIOS aggiornato, Dell EMC consiglia di eseguire l'upgrade a tale BIOS e di applicare le patch appropriate del sistema operativo per mitigare i CVE elencati.
Hyper-converged appliance
Dell EMC XC SeriesConsulta le tabelle dei prodotti per i server PowerEdge.
Prodotti
di storage Dell EMC (serie SC, serie PS e serie PowerVault MD)Consultare le tabelle dei prodotti per le mitigazioni e l'analisi appropriate.
Prodotti
Dell EMC NetworkingConsultare le tabelle dei prodotti per le mitigazioni e l'analisi appropriate.
Per informazioni su altri prodotti Dell, consultare: Impatto di Speculative Store ByPass (CVE-2018-3639, CVE-2018-3640) sui prodotti Dell .
Nota: Le tabelle riportate di seguito elencano i prodotti per i quali sono disponibili indicazioni per BIOS/firmware/driver. Queste informazioni saranno aggiornate non appena saranno disponibili ulteriori informazioni. Se non vedi la tua piattaforma, controlla più tardi.
Il BIOS del server può essere aggiornato utilizzando iDRAC o direttamente dal sistema operativo. In questo articolo vengono forniti altri metodi.
Queste sono le versioni minime richieste del BIOS.
Aggiornamenti di BIOS/firmware/driver per server PowerEdge, dispositivi di storage (incluse piattaforme di storage basate su server) e prodotti di rete
|
Linea di prodotti Dell Storage
|
Valutazione
|
| EqualLogic serie PS | Non applicabile. La CPU utilizzata nel prodotto non è interessata dai problemi segnalati. La CPU utilizzata è un processore Broadcom MIPS senza esecuzione speculativa. |
| Dell EMC serie SC (Compellent) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
| Dell Storage serie MD3 e DSMS MD3 | |
| Unità nastro e librerie Dell PowerVault | |
| Dell Storage serie FluidFS (include: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. L'accesso al prodotto per il caricamento di codici esterni e/o potenzialmente non attendibili è limitato solo agli utenti con privilegi root o equivalenti. I problemi segnalati non introducono un ulteriore rischio di sicurezza per il prodotto, ammesso che vengano seguite le procedure consigliate fornite per proteggere l'accesso degli account con privilegi elevati. |
|
Appliance virtuale Dell Storage
|
Valutazione
|
| Appliance virtuale Dell Storage Manager (DSM VA - Compellent) | Nessun ulteriore rischio di sicurezza. Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. L'accesso al prodotto per il caricamento di codici esterni e/o potenzialmente non attendibili è limitato solo agli utenti con privilegi root o equivalenti. I problemi segnalati non introducono un ulteriore rischio di sicurezza per il prodotto, ammesso che vengano seguite le procedure consigliate fornite per proteggere l'accesso degli account con privilegi elevati. Per una protezione completa, si consiglia ai clienti di applicare la patch per l'ambiente host virtuale in cui è distribuito il prodotto. |
| Strumenti di integrazione Dell Storage per VMWare (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Linea di prodotti Dell Storage
|
Valutazione
|
| Famiglia Dell Storage NX | Prodotto interessato dal problema. Consultare le informazioni pertinenti al server PowerEdge sulla patch del BIOS. Seguire le raccomandazioni del fornitore del sistema operativo per ridurre gli effetti del problema. |
| Famiglia Dell Storage DSMS |
Gestione dei sistemi per i prodotti server PowerEdge
|
Componente
|
Valutazione
|
|
iDRAC: 14 G, 13 G, 12 G, 11 G
|
Non interessati.
Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
|
CMC (Chassis Management Controller): 14 G, 13 G, 12 G, 11 G
|
Non interessati.
Per poter sfruttare queste vulnerabilità, un utente malintenzionato deve prima essere in grado di eseguire un codice dannoso sul sistema di destinazione. Il prodotto è stato progettato per impedire il caricamento e l'esecuzione da parte degli utenti di codici esterni e/o non attendibili nel sistema. I problemi segnalati non costituiscono un rischio alla sicurezza per il prodotto. |
| Generazione | Modelli | Versione del BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Generazione | Modelli | Versione del BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Generazione | Modelli | Versione del BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0 | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0 | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0 | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0 | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | In elaborazione | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Aggiornare il BIOS solo utilizzando l'aggiornamento non in pacchetto sulle piattaforme della serie NX 11G.
| Modelli | Versione BIOS/Firmware/Driver |
| OS10 Basic VM | In elaborazione |
| OS10 Enterprise VM | In elaborazione |
| S OS-Emulator | In elaborazione |
| Z OS-Emulator | In elaborazione |
| S3048-ON OS10 Basic | In elaborazione |
| S4048-ON OS10 Basic | In elaborazione |
| S4048T-ON OS10 Basic | In elaborazione |
| S6000-ON OS Basic | In elaborazione |
| S6010-ON OS10 Basic | In elaborazione |
| Z9100 OS10 Basic | In elaborazione |
Reti - Switch porta fissa
| Piattaforme | Versione BIOS/Firmware/Driver |
| Mellanox serie SB7800, serie SX6000 | In elaborazione |
| Modelli | Versione BIOS/Firmware/Driver |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | In elaborazione |
| W-7005, W-7008, W-7010, W-7024, W-7030, W-7200 Series, W-7205 | In elaborazione |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | In elaborazione |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | In elaborazione |
| W-AP68, W-AP92, W-AP93, W-AP93H | In elaborazione |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | In elaborazione |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | In elaborazione |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | In elaborazione |
| Punti di accesso serie W - 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | In elaborazione |
| Controller AOS serie W | In elaborazione |
| FIPS serie W | In elaborazione |
| Modelli | Versione BIOS/Firmware/Driver |
| W-Airwave | In elaborazione - Accertarsi che l'hypervisor disponga delle patch appropriate. |
| Appliance hardware W-ClearPass | In elaborazione |
| Appliance virtuali W-ClearPass | In elaborazione - Accertarsi che l'hypervisor disponga delle patch appropriate. |
| Software W-ClearPass 100 | In elaborazione |
Riferimenti esterni
- Avviso di sicurezza Intel - Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Blog Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Indicazioni per lo sviluppatore per Spectulative Store Bypass: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Sito Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Causa
-
Risoluzione
-
Prodotti interessati
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage ModelsProprietà dell'articolo
Numero articolo: 000178082
Tipo di articolo: Solution
Ultima modifica: 30 ago 2023
Versione: 7
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.