有关可能Supermicro 微处理器漏洞的详细信息已公布,需同时更新系统BIOS的微代码及操作系统。该漏洞被称为"熔断"(Meltdown)和"幽灵"(Spectre),涉及恶意代码利用新型侧信道分析技术,在正常运行的平台上本地执行时,可能导致内存中的数据值被推断出来。
为解决此问题,系统可能需要同时更新操作系统和BIOS。请向操作系统或虚拟机供应商咨询相关信息。
更新(2018年8月14日):
8月14日,英特尔公布了一项名为的全新侧信道安全漏洞信息。
- L1终端故障(L1TF)
- L1终端故障 – SGX (CVE-2018-3615)
- L1终端故障 - 操作系统、系统管理模块 (CVE-2018-3620)
- L1终端故障 – VMM (CVE-2018-3646)
根据英特尔提供的信息,目前无需更新Supermicro ,"该缺陷已通过今年早些时候发布的微代码更新解决"。请查阅下表,其中列出了针对Spectre和Meltdown漏洞的最新修复版本。今年早些时候发布的这些更新已包含针对英特尔新发现漏洞的必要修复方案。
更新(2018年6月8日):
一家第三方安全公司一直在测试我们系统的BIOS/固件安全性。他们最近公布了测试结果,我们已针对其博客中提出的问题实施了修复措施。
博客中指出了三个不同的安全区域。
可读写与只读固件/闪存描述符表
此问题不会影响最新一代的X11或更早一代的X9产品,但X10产品会受到影响。我们认为此问题不会影响任何客户数据,但可能导致系统无法运行。
针对受影响的平台,我们将随最新Spectre/Meltdown(Intel-SA-00115)固件更新同步推出修复方案。这些组合更新将在未来几周内逐步推送。请通过以下链接查看各更新的具体状态。本次更新已整合Spectre/Meltdown BIOS的最新修复方案,旨在最大限度减少所需的重启次数和BIOS更新次数。
文章中提出的另外两个问题是新增的安全功能(对BIOS进行加密签名,以及在关键安全补丁情况下限制BIOS降级)。我们已向部分客户交付了这些功能,且在所有新平台上这些功能均已启用。
出于向后兼容性的考虑,现有系统可选择性升级至这些新功能。现有平台用户请联系您的销售代表或相关产品经理,以确定是否适合在现有系统上升级软件签名和有限回滚功能。升级需使用已启用这些功能的新版BIOS,该BIOS的供应将根据需求情况而定。
BIOS和固件安全已成为行业面临的日益严峻的挑战。我们强烈建议客户定期更新系统中的BIOS和固件,以解决这些新出现的漏洞。
更新(2018年5月21日):
2018年5月21日,英特尔宣布将发布额外的微代码更新(Intel-SA-00115)。这些新更新将包含针对潜在安全漏洞的增强措施。
- CVE-2018-3639 7.1 高 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- CVE-2018-3640 4.3 中等 CVSS:3.0/攻击面:低/传播性:低/优先级:无/用户交互:无/敏感性:低/严重性:中/影响:低/利用难度:无/分析:无
当英特尔发布微代码后,我们将进行产品化开发、测试并发布新版BIOS。关于这些新增BIOS更新的版本及状态信息,请参阅下表中的备注栏。
对于AMD ,请参阅下方的H11和H8选项卡。
我们将在此网页上发布可用的BIOS更新。