關於可能Supermicro 微處理器漏洞細節已公布,需同步執行系統BIOS微程式碼更新與作業系統更新。此漏洞俗稱「熔毀」與「幽靈」,涉及惡意程式碼運用新型側通道分析技術,當於正常運作平台上本地執行時,可能導致記憶體中的數據值遭推斷洩漏。
為解決此問題,系統可能需要同時更新作業系統與 BIOS。請向作業系統或虛擬機器供應商查詢相關資訊。
更新(2018年8月14日):
8月14日,英特爾發布了一項名為「微指令通道」(Side-Channel)的新型安全漏洞相關資訊。
- L1終端故障(L1TF)
- L1 終端故障 – SGX (CVE-2018-3615)
- L1 終端故障 - 作業系統、系統管理模式 (CVE-2018-3620)
- L1 終端故障 – 虛擬記憶體管理程式 (CVE-2018-3646)
根據英特爾提供的資訊,目前無需更新Supermicro ,因「此缺陷已透過今年稍早發布的微程式碼更新解決」。請參閱下方表格,其中列出針對Spectre與Meltdown漏洞提供最新修補的BIOS版本。今年稍早發布的這些更新已包含英特爾所發現新漏洞所需的必要修正。
更新(2018年6月8日):
一家第三方安全公司持續對我們的系統進行BIOS/韌體安全性測試。該公司近期公佈了測試結果,我們已針對其部落格中提出的問題實施修正措施。
在部落格中,共識別出三個不同的安全區域。
讀寫型與唯讀型韌體/快閃記憶體描述符表
此問題不會影響最新一代的X11產品或更早一代的X9產品,但X10產品會受到影響。我們認為此問題不會影響任何客戶的資料,但可能導致系統無法運作。
針對受影響的平台,我們將隨最新Spectre/Meltdown(Intel-SA-00115)韌體更新同步推出修復方案。此組合更新將於未來數週內逐步推送。請參閱下方各更新項目狀態。為減少重啟次數及BIOS更新需求,我們將此更新與Spectre/Meltdown BIOS最新修復方案合併發布。
該文章提出的另外兩項問題是新的安全功能(對BIOS進行加密簽署,以及在關鍵安全修補程式發布時限制BIOS降級)。我們已為部分客戶提供這些功能,且今後所有新平台都將預設啟用這些功能。
基於向後相容性考量,我們將為現有系統提供選配升級至這些新功能的選項。現有平台客戶請聯繫您的業務代表或相關產品經理,以評估是否適合為現有系統升級軟體簽署與有限回滾功能。升級後需搭配啟用這些功能的新版 BIOS,其供應將視需求而定。
BIOS與韌體安全已成為產業面臨日益嚴峻的挑戰。我們強烈建議客戶定期更新系統中的BIOS與韌體,以因應這些新發現的漏洞。
更新(2018年5月21日):
2018年5月21日,英特爾宣布將發布額外的微程式碼更新(Intel-SA-00115)。這些新更新將包含強化措施,以解決潛在的安全漏洞。
- CVE-2018-3639 7.1 高 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- CVE-2018-3640 4.3 中等 CVSS:3.0/AV:低/AC:低/PR:無/UI:無/S:中/C:低/I:無/A:無
當英特爾發布微程式碼後,我們將進行產品化、測試並發布新版BIOS。關於這些額外BIOS更新的版本與狀態,請參閱下方表格中的備註欄。
針對AMD ,請參閱下方的 H11 與 H8 標籤頁。
我們將在 BIOS 更新推出時,於本網頁提供最新版本。