微处理器旁路漏洞(CVE-2018-3639 和 CVE-2018-3640):对 Dell EMC PowerEdge 服务器、存储(SC Series、PS Series 和 PowerVault MD Series)和网络产品的影响
摘要: Dell EMC指导用于针对服务器、存储和网络产品降低风险和解决边通道分析漏洞(又称为Speculative Store Bypass和Rogue System Register Read)。有关受影响平台上的特定信息以及应用更新的后续步骤,请参阅本指南。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
2018-11-09
CVE ID:CVE-2018-3639、CVE-2018-3640
2018 年 5 月 21 日,Google Project Zero 和 Microsoft 安全响应中心公开了 CVE-2018-3639 和 CVE-2018-3640 中描述的旁路漏洞(也分别称为 Speculative Store Bypass 和 Rogue System Register Read),Dell EMC 已了解此次攻击对许多现代微处理器造成了影响。可以作为本地用户访问系统的无权限攻击者可能会利用这些漏洞读取保密内存数据。有关更多信息,请查看英特尔发布的安全更新。
Dell EMC 正在研究这些问题对我们产品的影响。我们将定期更新此文章,告知影响详细信息和缓解步骤(可用时)。缓解步骤可能因产品而异,可能需要更新处理器微码 (BIOS)、操作系统 (OS)、虚拟机管理器 (VMM) 和其他软件组件。
在可以应用任何未来的更新之前,Dell EMC 建议客户遵循恶意软件防护的安全最佳实践,以帮助防止这些漏洞被利用。最佳实践包括但不限于尽快部署软件更新、避免未知的超链接和网站、绝不从未知来源下载文件或应用程序,以及采用最新的防病毒和高级威胁防护解决方案。
Dell EMC PowerEdge 服务器
需要应用两个主要组件来缓解上述漏洞:
产品表已更新,并且还会更新,因为Intel发布了微代码。如果您的产品有更新的 BIOS 列出,Dell EMC 建议您升级到该 BIOS,并应用相应的操作系统修补程序来降低列出的 CVE 的风险。
Dell EMC XC 系列超融合设备。
请参阅 PowerEdge 服务器产品表。
Dell EMC 存储(SC Series、PS Series 和 PowerVault MD Series)产品
有关相应的缓解措施和分析,请参阅产品表。
Dell EMC 网络产品
有关相应的缓解措施和分析,请参阅产品表。
有关其他戴尔产品的信息,请参阅:Speculative Store ByPass(CVE-2018-3639、CVE-2018-3640)对戴尔产品的影响 。
提醒:下面的表格列出了有可用 BIOS/固件/驱动程序指导的产品。当存在其它可用信息时,我们会对此信息进行更新。如果没有看到您的平台,请稍后再查看。
可以使用 iDRAC 或直接从操作系统更新服务器 BIOS。这篇文章提供了其他方法。
以下是所需的最低 BIOS 版本。
PowerEdge服务器产品的系统管理
***仅在 11G NX 系列平台上使用非封装的更新来更新 BIOS。
CVE ID:CVE-2018-3639、CVE-2018-3640
2018 年 5 月 21 日,Google Project Zero 和 Microsoft 安全响应中心公开了 CVE-2018-3639 和 CVE-2018-3640 中描述的旁路漏洞(也分别称为 Speculative Store Bypass 和 Rogue System Register Read),Dell EMC 已了解此次攻击对许多现代微处理器造成了影响。可以作为本地用户访问系统的无权限攻击者可能会利用这些漏洞读取保密内存数据。有关更多信息,请查看英特尔发布的安全更新。
Dell EMC 正在研究这些问题对我们产品的影响。我们将定期更新此文章,告知影响详细信息和缓解步骤(可用时)。缓解步骤可能因产品而异,可能需要更新处理器微码 (BIOS)、操作系统 (OS)、虚拟机管理器 (VMM) 和其他软件组件。
在可以应用任何未来的更新之前,Dell EMC 建议客户遵循恶意软件防护的安全最佳实践,以帮助防止这些漏洞被利用。最佳实践包括但不限于尽快部署软件更新、避免未知的超链接和网站、绝不从未知来源下载文件或应用程序,以及采用最新的防病毒和高级威胁防护解决方案。
Dell EMC PowerEdge 服务器
需要应用两个主要组件来缓解上述漏洞:
产品表已更新,并且还会更新,因为Intel发布了微代码。如果您的产品有更新的 BIOS 列出,Dell EMC 建议您升级到该 BIOS,并应用相应的操作系统修补程序来降低列出的 CVE 的风险。
Dell EMC XC 系列超融合设备。
请参阅 PowerEdge 服务器产品表。
Dell EMC 存储(SC Series、PS Series 和 PowerVault MD Series)产品
有关相应的缓解措施和分析,请参阅产品表。
Dell EMC 网络产品
有关相应的缓解措施和分析,请参阅产品表。
有关其他戴尔产品的信息,请参阅:Speculative Store ByPass(CVE-2018-3639、CVE-2018-3640)对戴尔产品的影响 。
提醒:下面的表格列出了有可用 BIOS/固件/驱动程序指导的产品。当存在其它可用信息时,我们会对此信息进行更新。如果没有看到您的平台,请稍后再查看。
可以使用 iDRAC 或直接从操作系统更新服务器 BIOS。这篇文章提供了其他方法。
以下是所需的最低 BIOS 版本。
PowerEdge服务器、存储(包括服务器使用的存储平台)和网络产品的BIOS/固件/驱动程序更新
|
戴尔存储产品系列
|
估计
|
| EqualLogic PS系列 | 不适用。 在产品中使用的CPU不受所报告问题的影响。使用的CPU是没有推测性执行功能的Broadcom MIPS处理器。 |
| Dell EMC SC系列(Compellent) | 没有其它安全风险。 如果要利用这些漏洞,攻击者首先必须能够在目标系统上运行恶意代码。本产品旨在防止用户在系统中加载和执行任何外部和/或不受信任的代码。报告的问题不会给产品带来任何其它安全风险。 |
| Dell Storage MD3和DSMS MD3系列 | |
| Dell PowerVault磁带机和磁带库 | |
| Dell Storage FluidFS 系列(包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) | 没有其它安全风险。 如果要利用这些漏洞,攻击者首先必须能够在目标系统上运行恶意代码。只有具有根权限或与根同等权限的用户才能访问产品,以加载外部和/或可能不受信任的代码。只要遵循建议的妥善做法来保护高特权帐户的访问权限,所报告的问题就不会给产品带来任何附加的安全风险。 |
|
Dell Storage基于虚拟化的应用方案
|
估计
|
| Dell Storage Manager基于虚拟化的应用方案(DSM VA - Compellent) | 没有其它安全风险。 如果要利用这些漏洞,攻击者首先必须能够在目标系统上运行恶意代码。只有具有根权限或与根同等权限的用户才能访问产品,以加载外部和/或可能不受信任的代码。只要遵循建议的妥善做法来保护高特权帐户的访问权限,所报告的问题就不会给产品带来任何附加的安全风险。强烈建议客户修补部署有产品的虚拟主机环境,以进行全面保护。 |
| 面向VMWare的Dell Storage Integration工具(Compellent) | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
戴尔存储产品系列
|
估计
|
| Dell Storage NX系列 | 受到影响。 请参阅相关的PowerEdge服务器信息,以了解BIOS修补程序信息。遵循相关的操作系统供应商建议,实现操作系统级别缓解。 |
| Dell Storage DSMS系列 |
PowerEdge服务器产品的系统管理
|
组件
|
估计
|
|
iDRAC:14G、13G、12G、11G
|
不受影响。
如果要利用这些漏洞,攻击者首先必须能够在目标系统上运行恶意代码。本产品旨在防止用户在系统中加载和执行任何外部和/或不受信任的代码。报告的问题不会给产品带来任何其它安全风险。 |
|
Chassis Management Controller (CMC):14G、13G、12G、11G
|
不受影响。
如果要利用这些漏洞,攻击者首先必须能够在目标系统上运行恶意代码。本产品旨在防止用户在系统中加载和执行任何外部和/或不受信任的代码。报告的问题不会给产品带来任何其它安全风险。 |
| 代系 | 型号 | BIOS 版本 |
| 13G | R830 | 1.8.0 |
| T130、R230、T330、R330、NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630、M630P、FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830、M830P、FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530、R430、T430、XC430、XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320、XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| 代系 | 型号 | BIOS 版本 |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610、M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | 处理中 | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
***仅在 11G NX 系列平台上使用非封装的更新来更新 BIOS。
| 型号 | BIOS/固件/驱动程序版本 |
| OS10 Basic虚拟机 | 处理中 |
| OS10 Enterprise虚拟机 | 处理中 |
| S操作系统仿真程序 | 处理中 |
| Z操作系统仿真程序 | 处理中 |
| S3048-ON OS10 Basic | 处理中 |
| S4048-ON OS10 Basic | 处理中 |
| S4048T-ON OS10 Basic | 处理中 |
| S6000-ON OS Basic | 处理中 |
| S6010-ON OS10 Basic | 处理中 |
| Z9100 OS10 Basic | 处理中 |
网络 - 固定端口交换机
| 平台 | BIOS/固件/驱动程序版本 |
| Mellanox SB7800系列、SX6000系列 | 处理中 |
| 型号 | BIOS/固件/驱动程序版本 |
| W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 | 处理中 |
| W-7005、W-7008、W-7010、W-7024、W-7030、W-7200系列、W-7205 | 处理中 |
| W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 | 处理中 |
| W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 | 处理中 |
| W-AP68、W-AP92、W-AP93、W-AP93H | 处理中 |
| W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 | 处理中 |
| W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 | 处理中 |
| W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 | 处理中 |
| W系列接入点 - 205H、207、228、277、304、305、314、315、324、325、334、335 | 处理中 |
| W系列控制器AOS | 处理中 |
| W系列FIPS | 处理中 |
| 型号 | BIOS/固件/驱动程序版本 |
| W-Airwave | 处理中—确保虚拟机管理程序具有相应的修补程序。 |
| W-ClearPass硬件设备 | 处理中 |
| W-ClearPass虚拟设备 | 处理中—确保虚拟机管理程序具有相应的修补程序。 |
| W-ClearPass 100软件 | 处理中 |
外部参考
- Intel Security Advisory - Intel-SA-00115(Intel安全公告-Intel-SA-00115):https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012, CVE-2018-3639:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013, CVE-2018-3640:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Microsoft Security Research and Defense博客:https://aka.ms/sescsrdssb
- Spectulative Store Bypass开发者指南:https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Microsoft Azure Reliability站点:https://aka.ms/azurereliability
- VMWare:https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe:https://www.suse.com/support/kb/doc/?id=7022937
- RedHat:https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
原因
-
解决方案
-
受影响的产品
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models文章属性
文章编号: 000178082
文章类型: Solution
上次修改时间: 30 8月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。