Уязвимости сторонних каналов микропроцессоров (CVE-2018-3639 и CVE-2018-3640): Влияние на серверы, системы хранения данных (серии SC, PS и PowerVault серии MD) и сетевые продукты Dell EMC PowerEdge)
Сводка: Указания Dell EMC по снижению риска и разрешению проблем уязвимостей, связанных с анализом сторонних каналов (известных как «Speculative Store Bypass» и «Rogue System Register Read»), для серверов, систем хранения данных и сетевых продуктов. Обратитесь к данному руководству для получения конкретной информации о затронутых платформах и следующих действиях по применению обновлений. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
09.11.2018
Идентификатор CVE: CVE-2018-3639, CVE-2018-3640
Dell EMC известно об уязвимостях сторонних каналов, описанных в CVE-2018-3639 (также известной как Speculative Store Bypass) и CVE-2018-3640 (также известной как Rogue System Register Read), затрагивающих многие современные микропроцессоры, которые были опубликованы Google Project Zero и Microsoft Security Response Center 21 мая 2018 года. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации, пожалуйста, ознакомьтесь с обновлениями безопасности, публикуемыми корпорацией Intel.
Dell EMC изучает влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), диспетчера виртуальных машин (VMM) и других программных компонентов.
Dell EMC рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО, чтобы предотвратить возможность использования этих уязвимостей до тех пор, пока не будут применены какие-либо будущие обновления. Эти методы включают, помимо прочего, быстрое развертывание обновлений программного обеспечения, избегание неизвестных гиперссылок и веб-сайтов, никогда не загружать файлы или приложения из неизвестных источников, а также использование современных антивирусных и передовых решений
для защиты от угроз.Серверы
Dell EMC PowerEdgeСуществует два основных компонента, которые необходимо применить для устранения вышеупомянутых уязвимостей:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если для вашего продукта указана обновленная версия BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС для устранения перечисленных CVE.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов PowerEdge Server.
Продукты
Dell EMC Storage (серии SC, PS и PowerVault серии MD)Соответствующие меры по снижению рисков и анализу см. в Таблицах продуктов.
Сетевые продукты
Dell EMCСоответствующие меры по снижению рисков и анализу см. в Таблицах продуктов.
Сведения о других продуктах Dell см. на следующей странице: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В приведенных ниже таблицах перечислены продукты, для которых доступны руководства по BIOS, микропрограмме и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, пожалуйста, проверьте позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные методы описаны в этой статье.
Это минимально необходимые версии BIOS.
Управление системами для серверных продуктов PowerEdge
Обновляйте BIOS только с помощью пакетного обновления на платформах серии NX 11-го поколения.
Идентификатор CVE: CVE-2018-3639, CVE-2018-3640
Dell EMC известно об уязвимостях сторонних каналов, описанных в CVE-2018-3639 (также известной как Speculative Store Bypass) и CVE-2018-3640 (также известной как Rogue System Register Read), затрагивающих многие современные микропроцессоры, которые были опубликованы Google Project Zero и Microsoft Security Response Center 21 мая 2018 года. Не имеющий привилегий злоумышленник с доступом локального пользователя к системе может воспользоваться этими уязвимостями для чтения в конфиденциальных данных памяти. Для получения дополнительной информации, пожалуйста, ознакомьтесь с обновлениями безопасности, публикуемыми корпорацией Intel.
Dell EMC изучает влияние этих проблем на наши продукты. Мы будем регулярно обновлять данную статью по мере появления новых сведений о воздействии уязвимостей и о методах их устранения. Действия по устранению могут различаться в зависимости от продукта и могут потребовать обновления микрокода процессора (BIOS), операционной системы (ОС), диспетчера виртуальных машин (VMM) и других программных компонентов.
Dell EMC рекомендует заказчикам следовать передовым практикам обеспечения безопасности для защиты от вредоносного ПО, чтобы предотвратить возможность использования этих уязвимостей до тех пор, пока не будут применены какие-либо будущие обновления. Эти методы включают, помимо прочего, быстрое развертывание обновлений программного обеспечения, избегание неизвестных гиперссылок и веб-сайтов, никогда не загружать файлы или приложения из неизвестных источников, а также использование современных антивирусных и передовых решений
для защиты от угроз.Серверы
Dell EMC PowerEdgeСуществует два основных компонента, которые необходимо применить для устранения вышеупомянутых уязвимостей:
На данный момент обновлены таблицы продуктов, которые и впредь будут обновляться по мере выпуска микрокода корпорацией Intel. Если для вашего продукта указана обновленная версия BIOS, Dell EMC рекомендует выполнить обновление до этой версии BIOS и применить соответствующие исправления ОС для устранения перечисленных CVE.
Гиперконвергентные устройства Dell EMC серии XC.
См. таблицы продуктов PowerEdge Server.
Продукты
Dell EMC Storage (серии SC, PS и PowerVault серии MD)Соответствующие меры по снижению рисков и анализу см. в Таблицах продуктов.
Сетевые продукты
Dell EMCСоответствующие меры по снижению рисков и анализу см. в Таблицах продуктов.
Сведения о других продуктах Dell см. на следующей странице: Влияние на продукты Dell уязвимостей Store Bypass (CVE-2018-3639, CVE-2018-3640) .
Примечание. В приведенных ниже таблицах перечислены продукты, для которых доступны руководства по BIOS, микропрограмме и драйверам. Эти данные будут обновляться по мере поступления дополнительной информации. Если вы не видите свою платформу, пожалуйста, проверьте позже.
BIOS сервера можно обновить с помощью iDRAC или непосредственно из операционной системы. Дополнительные методы описаны в этой статье.
Это минимально необходимые версии BIOS.
Обновление BIOS/микропрограммы/драйвера для серверов PowerEdge, системы хранения (включая используемые платформы хранения данных) и сетевых продуктов
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| EqualLogic серии PS | Не применимо. Используемый в продукте процессор не затронут обнаруженными проблемами. Используется процессор Broadcom MIPS без спекулятивного выполнения команд. |
| Dell EMC серии SC (Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Серия массивов хранения Dell MD3 и DSMS MD3 | |
| Ленточные накопители и библиотеки Dell PowerVault | |
| Системы хранения Dell серии FluidFS (включает: FS8600, FS7600, FS7610, FS7500, NX3600, NX3610, NX3500) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. |
|
Dell Storage Virtual Appliance
|
Оценка
|
| Dell Storage Manager Virtual Appliance (DSM VA — Compellent) | Дополнительного риска безопасности не наблюдается. Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Доступ к продукту для загрузки внешнего и/или потенциально ненадежного кода предназначен только для пользователей с привилегированными правами или правами, эквивалентными привилегированным. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта, если соблюдаются рекомендованные передовые практики защиты доступа к учетной записи с высоким уровнем привилегий. Рекомендуется установить исправления для виртуальной хост-среды, в которой устройство развернуто для полной защиты. |
| Dell Storage Integration Tools for VMware (Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM — EqualLogic) |
|
Линейка продуктов Dell для хранения данных
|
Оценка
|
| Системы хранения Dell семейства NX | Затронуто. См. соответствующую информацию о сервере PowerEdge для сведений об исправлениях для BIOS. Следуйте рекомендациям по снижению риска на уровне ОС, предоставленным производителем соответствующей операционной системы. |
| Системы хранения Dell семейства DSMS |
Управление системами для серверных продуктов PowerEdge
|
Компонент
|
Оценка
|
|
iDRAC. 14, 13, 12, 11 Гбит/с
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
|
Контроллер управления шасси (CMC): 14, 13, 12, 11 Гбит/с
|
Не затронут.
Чтобы воспользоваться этими уязвимостями, злоумышленник сначала должен иметь возможность запустить вредоносный код на целевой системе. Устройство предотвращает доступ пользователей к загрузке и выполнению любого внешнего и/или ненадежного кода в системе. Обнаруженные проблемы не создают дополнительного риска безопасности для продукта. |
| Поколение | Модели | Версия BIOS |
| 13G | R830 | 1.8.0 |
| T130, R230, T330, R330, NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730, R730XD, R630, NX3330, NX3230, DSMS630, DSMS730, XC730, XC703XD, XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630, M630P, FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830, M830P, FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530, R430, T430, XC430, XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320, XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| Поколение | Модели | Версия BIOS |
| 12G | R920 | 1.8.0 |
| R820 | 2.5.0 | |
| R520 | 2.6.0 | |
| R420 | 2.6.0 | |
| R320, NX400 | 2.6.0 | |
| T420 | 2.6.0 | |
| T320 | 2.6.0 | |
| R220 | 1.10.3 | |
| R720, R720XD, NX3200, XC72XD | 2.7.0 | |
| R620, NX3300 | 2.7.0 | |
| M820 | 2.7.0 | |
| M620 | 2.7.0 | |
| M520 | 2.7.0 | |
| M420 | 2.7.0 | |
| T620 | 2.7.0 | |
| T20 | A18 | |
| C5230 | 1.4.0 | |
| C6220 | 2.5.6 | |
| C6220II | 2.9.0 | |
| C8220, C8220X | 2.9.0 |
| Поколение | Модели | Версия BIOS |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0 | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0 | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0 | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0 | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610, M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | В разработке | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
Обновляйте BIOS только с помощью пакетного обновления на платформах серии NX 11-го поколения.
| Модели | Версия BIOS/микропрограммы/драйвера |
| ВМ OS10 Basic | В разработке |
| ВМ OS10 Enterprise | В разработке |
| Эмулятор ОС S | В разработке |
| Эмулятор ОС Z | В разработке |
| S3048-ON OS10 Basic | В разработке |
| S4048-ON OS10 Basic | В разработке |
| S4048T-ON OS10 Basic | В разработке |
| S6000-ON OS Basic | В разработке |
| S6010-ON OS10 Basic | В разработке |
| Z9100 OS10 Basic | В разработке |
Сеть — коммутаторы фиксированных портов
| Платформы | Версия BIOS/микропрограммы/драйвера |
| Mellanox серии SB7800, серии SX6000 | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-3200, W-3400, W-3600, W-6000, W-620, W-650, W-651 | В разработке |
| W-7005, W-7008, W-7010, W-7024, W-7030, серия W-7200, W-7205 | В разработке |
| W-AP103, W-AP103H, W-AP105, W-AP114, W-AP115, W-AP124, W-AP125, W-AP134, W-AP135, W-AP175 | В разработке |
| W-AP204, W-AP205, W-AP214, W-AP215, W-AP224, W-AP225, W-AP274, W-AP275 | В разработке |
| W-AP68, W-AP92, W-AP93, W-AP93H | В разработке |
| W-IAP103, W-IAP104, W-IAP105, W-IAP108, W-IAP109, W-IAP114, W-IAP115, W-IAP134, W-IAP135 | В разработке |
| W-IAP155, W-IAP155P, W-IAP175P, W-IAP175AC, W-IAP204, W-IAP205, W-IAP214, W-IAP215 | В разработке |
| W-IAP-224, W-IAP225, W-IAP274, W-IAP275, W-IAP3WN, W-IAP3P, W-IAP92, W-IAP93 | В разработке |
| Точки доступа серии W — 205H, 207, 228, 277, 304, 305, 314, 315, 324, 325, 334, 335 | В разработке |
| W-Series Controller AOS | В разработке |
| W-Series FIPS | В разработке |
| Модели | Версия BIOS/микропрограммы/драйвера |
| W-Airwave | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Аппаратные устройства W-ClearPass | В разработке |
| Виртуальные устройства W-ClearPass | В разработке. Убедитесь, что на гипервизоре установлены соответствующие исправления. |
| Программное обеспечение W-ClearPass 100 | В разработке |
Внешние ссылки
- Советы по безопасности Intel — Intel-SA-00115: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft — ADV180012, CVE-2018-3639: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft — ADV180013, CVE-2018-3640: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Блог Microsoft Security Research and Defense: https://aka.ms/sescsrdssb
- Руководство для разработчиков по проблеме обхода спекулятивного хранения: https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Сайт Microsoft Azure Reliability: https://aka.ms/azurereliability
- VMWare: https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe: https://www.suse.com/support/kb/doc/?id=7022937
- RedHat: https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
Причина
-
Разрешение
-
Затронутые продукты
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage ModelsСвойства статьи
Номер статьи: 000178082
Тип статьи: Solution
Последнее изменение: 30 Aug 2023
Версия: 7
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.