已公布一項可能影響 Supermicro 系統的微處理器漏洞詳情,該漏洞需要更新系統 BIOS 的微碼以及作業系統更新。該漏洞通常被稱為 Meltdown 和 Spectre,涉及惡意程式碼利用新的側通道分析方法,並在正常運作的平台上本地執行時,可能允許從記憶體推斷資料值。
為解決此問題,系統可能需要同時更新作業系統與 BIOS。請向作業系統或虛擬機器供應商查詢相關資訊。
更新(2018年8月14日):
8月14日,英特爾發布了一項名為「微指令通道」(Side-Channel)的新型安全漏洞相關資訊。
- L1終端故障(L1TF)
- L1 終端故障 – SGX (CVE-2018-3615)
- L1 終端故障 - 作業系統、系統管理模式 (CVE-2018-3620)
- L1 終端故障 – 虛擬記憶體管理程式 (CVE-2018-3646)
根據 Intel 提供的資訊,目前無需對 Supermicro BIOS 或韌體進行新的更新,「此錯誤已透過今年稍早發布的微碼更新解決」。請查閱下表,其中列出了針對 Spectre 和 Meltdown 問題提供最新修復的 BIOS 版本。這些今年稍早發布的更新包含了 Intel 識別出的這些新問題所需的修復。
更新(2018年6月8日):
一家第三方安全公司持續對我們的系統進行BIOS/韌體安全性測試。該公司近期公佈了測試結果,我們已針對其部落格中提出的問題實施修正措施。
在部落格中,共識別出三個不同的安全區域。
讀寫型與唯讀型韌體/快閃記憶體描述符表
此問題不會影響最新一代的X11產品或更早一代的X9產品,但X10產品會受到影響。我們認為此問題不會影響任何客戶的資料,但可能導致系統無法運作。
針對受影響的平台,我們將隨最新Spectre/Meltdown(Intel-SA-00115)韌體更新同步推出修復方案。此組合更新將於未來數週內逐步推送。請參閱下方各更新項目狀態。為減少重啟次數及BIOS更新需求,我們將此更新與Spectre/Meltdown BIOS最新修復方案合併發布。
該文章提出的另外兩項問題是新的安全功能(對BIOS進行加密簽署,以及在關鍵安全修補程式發布時限制BIOS降級)。我們已為部分客戶提供這些功能,且今後所有新平台都將預設啟用這些功能。
基於向後相容性考量,我們將為現有系統提供選配升級至這些新功能的選項。現有平台客戶請聯繫您的業務代表或相關產品經理,以評估是否適合為現有系統升級軟體簽署與有限回滾功能。升級後需搭配啟用這些功能的新版 BIOS,其供應將視需求而定。
BIOS與韌體安全已成為產業面臨日益嚴峻的挑戰。我們強烈建議客戶定期更新系統中的BIOS與韌體,以因應這些新發現的漏洞。
更新(2018年5月21日):
2018年5月21日,英特爾宣布將發布額外的微程式碼更新(Intel-SA-00115)。這些新更新將包含強化措施,以解決潛在的安全漏洞。
- CVE-2018-3639 7.1 高 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- CVE-2018-3640 4.3 中等 CVSS:3.0/AV:低/AC:低/PR:無/UI:無/S:中/C:低/I:無/A:無
當英特爾發布微程式碼後,我們將進行產品化、測試並發布新版BIOS。關於這些額外BIOS更新的版本與狀態,請參閱下方表格中的備註欄。
對於 AMD 系統,請參閱下方的 H11 和 H8 索引標籤。
我們將在 BIOS 更新推出時,於本網頁提供最新版本。