微處理器旁路漏洞 (CVE-2018-3639 和 CVE-2018-3640):對 Dell EMC PowerEdge 伺服器、儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 和 Networking 產品的影響
摘要: 降低旁路分析漏洞 (又稱為 Speculative Store Bypass 和離群系統註冊讀取) 伺服器、儲存裝置和 Networking 產品風險,並提供解決方法的 Dell EMC 指導方針。如需受影響平台的特定資訊,以及套用更新的後續步驟,請參閱本指南。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
2018-11-09
CVE ID:CVE-2018-3639、CVE-2018-3640
Dell EMC 知道 CVE-2018-3639 (又稱為 Speculative Store Bypass) 和 CVE-2018-3640 (又稱為離群系統註冊讀取) 所述的旁路漏洞,這些漏洞影響到 Google Project Zero 和 Microsoft 安全回應中心於 2018 年 5 月 21 日發佈的許多現代微處理器。具有本機使用者存取權但沒有高權限的攻擊者,可能會利用這些漏洞讀取高權限的記憶體資料。如需詳細資訊,請檢閱 Intel 發佈的安全性更新。
Dell EMC 正在調查這些問題對我們產品的影響。若有適用的影響詳細資料和緩解步驟,我們會定期更新這篇文章。緩解步驟可能因產品而異,可能需要更新處理器微碼 (BIOS)、作業系統 (OS)、Virtual Machine Manager (VMM) 及其他軟體元件。
Dell EMC 建議客戶遵循惡意程式保護的安全性最佳實務,以避免有人可能利用這些漏洞,直到未來可以套用任何更新為止。這些做法包括但不限於及時部署軟體更新、避免不明的超連結和網站、拒絕從不明來源下載檔案或應用程式,以及採用最新的防毒和進階威脅保護解決方案。
Dell EMC PowerEdge 伺服器
必須套用兩個基本元件,以緩解上述漏洞:
產品表格已更新,並將在 Intel 發佈微碼時進行更新。如果您的產品已列出更新的 BIOS,Dell EMC 建議您升級至該 BIOS,並套用適當的作業系統修補程式,以便針對列出的 CVE 提供緩解措施。
Dell EMC XC 系列超融合應用裝置。
請參閱 PowerEdge 伺服器產品表格。
Dell EMC 儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 產品
請參閱產品表格以瞭解適當的緩解措施與分析。
Dell EMC Networking 產品
請參閱產品表格,瞭解適當的緩解措施與分析。
如需其他 Dell 產品的資訊,請參閱:《Speculative Store ByPass (CVE-2018-3639、CVE-2018-3640) 對 Dell 產品的影響》(英文版) 。
備註:下方表格會列出提供 BIOS/韌體/驅動程式說明的產品。此資訊會隨著其他資訊推出而更新。如果您看不到平台,請稍後再查看。
伺服器 BIOS 可以使用 iDRAC 或直接從作業系統更新。文章中會提供其他方法。
以下是 BIOS 版本的最低要求。
PowerEdge 伺服器產品的系統管理
***只有在 11G NX 系列平台上使用非套裝更新來更新 BIOS。
CVE ID:CVE-2018-3639、CVE-2018-3640
Dell EMC 知道 CVE-2018-3639 (又稱為 Speculative Store Bypass) 和 CVE-2018-3640 (又稱為離群系統註冊讀取) 所述的旁路漏洞,這些漏洞影響到 Google Project Zero 和 Microsoft 安全回應中心於 2018 年 5 月 21 日發佈的許多現代微處理器。具有本機使用者存取權但沒有高權限的攻擊者,可能會利用這些漏洞讀取高權限的記憶體資料。如需詳細資訊,請檢閱 Intel 發佈的安全性更新。
Dell EMC 正在調查這些問題對我們產品的影響。若有適用的影響詳細資料和緩解步驟,我們會定期更新這篇文章。緩解步驟可能因產品而異,可能需要更新處理器微碼 (BIOS)、作業系統 (OS)、Virtual Machine Manager (VMM) 及其他軟體元件。
Dell EMC 建議客戶遵循惡意程式保護的安全性最佳實務,以避免有人可能利用這些漏洞,直到未來可以套用任何更新為止。這些做法包括但不限於及時部署軟體更新、避免不明的超連結和網站、拒絕從不明來源下載檔案或應用程式,以及採用最新的防毒和進階威脅保護解決方案。
Dell EMC PowerEdge 伺服器
必須套用兩個基本元件,以緩解上述漏洞:
產品表格已更新,並將在 Intel 發佈微碼時進行更新。如果您的產品已列出更新的 BIOS,Dell EMC 建議您升級至該 BIOS,並套用適當的作業系統修補程式,以便針對列出的 CVE 提供緩解措施。
Dell EMC XC 系列超融合應用裝置。
請參閱 PowerEdge 伺服器產品表格。
Dell EMC 儲存裝置 (SC 系列、PS 系列和 PowerVault MD 系列) 產品
請參閱產品表格以瞭解適當的緩解措施與分析。
Dell EMC Networking 產品
請參閱產品表格,瞭解適當的緩解措施與分析。
如需其他 Dell 產品的資訊,請參閱:《Speculative Store ByPass (CVE-2018-3639、CVE-2018-3640) 對 Dell 產品的影響》(英文版) 。
備註:下方表格會列出提供 BIOS/韌體/驅動程式說明的產品。此資訊會隨著其他資訊推出而更新。如果您看不到平台,請稍後再查看。
伺服器 BIOS 可以使用 iDRAC 或直接從作業系統更新。文章中會提供其他方法。
以下是 BIOS 版本的最低要求。
PowerEdge 伺服器、儲存裝置 (包括伺服器已利用的儲存平台) 和 Networking 產品的 BIOS/韌體/驅動程式更新
|
Dell Storage 產品線
|
評估
|
| EqualLogic PS 系列 | 不適用。 所回報的問題不會影響產品中使用的 CPU。使用的 CPU 是 Broadcom MIPS 處理器,沒有推測執行。 |
| Dell EMC SC 系列 (Compellent) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
| Dell Storage MD3 和 DSMS MD3 系列 | |
| Dell PowerVault 磁帶機與磁帶庫 | |
| Dell Storage FluidFS 系列 (包括:FS8600、FS7600、FS7610、FS7500、NX3600、NX3610、NX3500) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。只有具有根或等同於根權限的使用者才可存取產品,以載入外部和/或可能不受信任的程式碼。所報告的問題不會對產品造成任何其他安全性風險,前提是遵循保護高權限帳戶存取權的建議最佳實務。 |
|
Dell Storage 虛擬裝置
|
評估
|
| Dell Storage Manager 虛擬裝置 (DSM VA - Compellent) | 無其他安全性風險。 若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。只有具有根或等同於根權限的使用者才可存取產品,以載入外部和/或可能不受信任的程式碼。所報告的問題不會對產品造成任何其他安全性風險,前提是遵循保護高權限帳戶存取權的建議最佳實務。強烈建議客戶修補部署產品的虛擬主機環境,以獲得完整的保護。 |
| 適用於 VMWare (Compellent) 的 Dell Storage 整合工具 | |
| Dell EqualLogic Virtual Storage Manager (VSM - EqualLogic) |
|
Dell Storage 產品線
|
評估
|
| Dell Storage NX 系列 | 受影響。 如需 BIOS 修補程式資訊,請參閱相關的 PowerEdge 伺服器資訊。請遵循相關的作業系統廠商建議,進行作業系統層級遷移。 |
| Dell Storage DSMS 系列 |
PowerEdge 伺服器產品的系統管理
|
元件
|
評估
|
|
iDRAC:14G、13G、12G、11G
|
不受影響。
若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
|
機箱管理控制器 (CMC):14G、13G、12G、11G
|
不受影響。
若要充分利用這些漏洞,攻擊者首先必須能夠在目標系統上執行惡意程式碼。本產品專門防止使用者在系統上載入和執行任何外部和/或不受信任的程式碼。所報告的問題不會對產品造成任何額外的安全性風險。 |
| 世代 | 型號 | BIOS 版本 |
| 13G | R830 | 1.8.0 |
| T130、R230、T330、R330、NX430 | 2.5.0 | |
| R930 | 2.5.2 | |
| R730、R730XD、R630、NX3330、NX3230、DSMS630、DSMS730、XC730、XC703XD、XC630 | 2.8.0 | |
| C4130 | 2.8.0 | |
| M630、M630P、FC630 | 2.8.0 | |
| FC430 | 2.8.0 | |
| M830、M830P、FC830 | 2.8.0 | |
| T630 | 2.8.0 | |
| R530、R430、T430、XC430、XC430Xpress | 2.8.0 | |
| R530XD | 1.8.0 | |
| C6320、XC6320 | 2.8.0 | |
| T30 | 1.0.14 |
| 世代 | 型號 | BIOS 版本 |
| 11G | R710 | 6.6.0 |
| NX3000 | 6.6.0*** | |
| R610 | 6.6.0 | |
| T610 | 6.6.0 | |
| R510 | 1.14.0 | |
| NX3100 | 1.14.0*** | |
| R410 | 1.14.0 | |
| NX300 | 1.14.0*** | |
| T410 | 1.14.0 | |
| R310 | 1.14.0 | |
| T310 | 1.14.0 | |
| NX200 | 1.14.0*** | |
| T110 | 1.12.0 | |
| T110-II | 2.10.0 | |
| R210 | 1.12.0 | |
| R210-II | 2.10.0 | |
| R810 | 2.11.0 | |
| R910 | 2.12.0 | |
| T710 | 6.6.0 | |
| M610、M610X | 6.6.0 | |
| M710 | 6.6.0 | |
| M710HD | 8.3.1 | |
| M910 | 2.12.0 | |
| C1100 | 3B25 | |
| C2100 | 處理中 | |
| C5220 | 2.3.0 | |
| C6100 | 1.81 |
***只有在 11G NX 系列平台上使用非套裝更新來更新 BIOS。
| 型號 | BIOS/韌體/驅動程式版本 |
| OS10 Basic VM | 進行中 |
| OS10 Enterprise VM | 進行中 |
| S OS-Emulator | 進行中 |
| Z OS-Emulator | 進行中 |
| S3048-ON OS10 Basic | 進行中 |
| S4048-ON OS10 Basic | 進行中 |
| S4048T-ON OS10 Basic | 進行中 |
| S6000-ON OS Basic | 進行中 |
| S6010-ON OS10 Basic | 進行中 |
| Z9100 OS10 Basic | 進行中 |
Networking - 固定連接埠交換器
| 平台 | BIOS/韌體/驅動程式版本 |
| Mellanox SB7800 系列、SX6000 系列 | 進行中 |
| 型號 | BIOS/韌體/驅動程式版本 |
| W-3200、W-3400、W-3600、W-6000、W-620、W-650、W-651 | 進行中 |
| W-7005、W-7008、W-7010、W-7024、W-7030、W-7200 系列、W-7205 | 進行中 |
| W-AP103、W-AP103H、W-AP105、W-AP114、W-AP115、W-AP124、W-AP125、W-AP134、W-AP135、W-AP175 | 進行中 |
| W-AP204、W-AP205、W-AP214、W-AP215、W-AP224、W-AP225、W-AP274、W-AP275 | 進行中 |
| W-AP68、W-AP92、W-AP93、W-AP93H | 進行中 |
| W-IAP103、W-IAP104、W-IAP105、W-IAP108、W-IAP109、W-IAP114、W-IAP115、W-IAP134、W-IAP135 | 進行中 |
| W-IAP155、W-IAP155P、W-IAP175P、W-IAP175AC、W-IAP204、W-IAP205、W-IAP214、W-IAP215 | 進行中 |
| W-IAP-224、W-IAP225、W-IAP274、W-IAP275、W-IAP3WN、W-IAP3P、W-IAP92、W-IAP93 | 進行中 |
| W 系列存取點 - 205H、207、228、277、304、305、314、315、324、325、334、335 | 進行中 |
| W 系列控制器 AOS | 進行中 |
| W 系列 FIPS | 進行中 |
| 型號 | BIOS/韌體/驅動程式版本 |
| W-Airwave | 處理中 - 確保 Hypervisor 有適當的修補程式。 |
| W-ClearPass 硬體裝置 | 進行中 |
| W-ClearPass 虛擬裝置 | 處理中 - 確保 Hypervisor 有適當的修補程式。 |
| W-ClearPass 100 軟體 | 進行中 |
外部參照
- Intel 安全性公告 - Intel-SA-00115:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
- Microsoft - ADV180012、CVE-2018-3639:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
- Microsoft - ADV180013、CVE-2018-3640:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180013
- Microsoft Security Research and Defense 部落格:https://aka.ms/sescsrdssb
- Spectulative Store Bypass 開發人員指南:https://docs.microsoft.com/en-us/cpp/security/developer-guidance-speculative-execution
- Microsoft Azure 可靠性網站:https://aka.ms/azurereliability
- VMWare:https://www.vmware.com/security/advisories/VMSA-2018-0012.html
- SuSe:https://www.suse.com/support/kb/doc/?id=7022937
- RedHat:https://access.redhat.com/security/vulnerabilities/ssbd
- Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/Variant4
原因
-
解析度
-
受影響的產品
Networking, Datacenter Scalable Solutions, PowerEdge, C Series, Entry Level & Midrange, Compellent (SC, SCv & FS Series), Legacy Storage Models文章屬性
文章編號: 000178082
文章類型: Solution
上次修改時間: 30 8月 2023
版本: 7
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。