• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C关于微处理器安全漏洞相关方案的技术公告

【发布时间:2018-01-16】

 

【漏洞背景】

近日,微处理器厂家暴露了一项严重的安全漏洞,漏洞编号为Meltdown CVE-2017-5754),SpectreCVE-2017-5753CVE-2017-5715),此项漏洞源于微处理器芯片的一个底层设计缺陷,该漏洞影响范围涉及主流的微处理器产品。

【漏洞影响】

该项安全漏洞可能会导致针对性的恶意程序越过权限控制,读取非授权的虚拟内存数据。

H3C产品】

自微处理器漏洞发布以来,H3C 研发团队迅速进行了分析,对H3C公司产品进行了自查,结果如下。

确认涉及的产品:

l  CAS

l  云桌面、云学堂系列产品

l  H3CloudOS

l  分布式存储

l  H3C服务器产品

l  部分业务软件产品(ADCAMADCARU-CenterAOMSOC

l  部分NFV产品(VBRASSOVNFMNFVOVNF1000系列产品)

l  SDNvSwitchSDN ControllerLicense Server

l  SDN广域网产品(AD-WAN

l  大数据软件

l  中低端路由器OAP单板

l  VCX201712月停止维护)

确认不涉及产品:

A. 基于Comware平台的产品中确认不涉及产品:

l  园区核心交换机产品

l  数据中心交换机产品

l  园区接入交换机

l  安全产品

l  安全新业务产品

l  无线产品

l  高端路由器

l  中低端路由器产品

l  核心路由器产品

l  VNF2000系列产品(VSR/VBRAS/vFW/vLB/vAC/vLNS

B. Comware平台产品中确认不涉及产品:

l  部分业务软件产品(iMCADDC

l  智能终端

C. Comware平台软件确认不涉及:

l  ComwareV5 运行在内核态,不受影响,不涉及此漏洞。

l  ComwareV7 所有运行ComwareV7平台的产品均不受影响,不涉及此漏洞。

HPE产品】

自微处理器漏洞发布以来,HPE确认涉及的产品如下:

l  HPE ProLiant ML30 Gen9 Server, HPE ProLiant DL20 Gen9 Server, HPE Synergy 480 Gen9 Compute Module, HPE Synergy 660 Gen9 Compute Module, HPE ProLiant m710x Server Cartridge, HPE ProLiant XL270d Gen9 Special Server, HPE ProLiant MicroServer Gen10, HPE ProLiant DL360 Gen10 Server, HPE ProLiant BL460c Gen10 Server Blade, HPE Synergy 660 Gen10 Compute Module, HPE Synergy 480 Gen10 Configure-to-order Compute Module, HPE ProLiant DL380 Gen10 Server, HPE ProLiant DL560 Gen10 Server, HPE ProLiant XL230k Gen10 Server, HPE ProLiant XL170r Gen10 Server, HPE ProLiant XL190r Gen10 Server, HPE Apollo 2000 System, HPE ProLiant DL120 Gen10 Server, HPE ProLiant DL160 Gen10 Server, HPE ProLiant DL180 Gen10 Server, HPE ProLiant DL580 Gen10 Server, HPE ProLiant ML110 Gen10 Server, HPE ProLiant ML350 Gen10 Server, HPE Apollo 4510 System, HPE ProLiant XL450 Gen10 Server, HPE ProLiant DL385 Gen10 Server, HPE Apollo 6000 DLC System, HPE ProLiant DL320e Gen8 v2 Server, HPE ProLiant DL320e Gen8 v2 Server, HPE ProLiant ML310e Gen8 v2 Server, HP ProLiant XL220a Gen8 v2 Server, HPE ProLiant DL160 Gen9 Server, HPE ProLiant DL180 Gen9 Server, HPE ProLiant DL360 Gen9 Server, HPE ProLiant BL460c Gen9 Server Blade, HPE ProLiant DL380 Gen9 Server, HPE ProLiant ML350 Gen9 Server, HP ProLiant BL460c Gen9 Server Blade, HPE ProLiant XL230a Gen9 Server, HPE ProLiant DL120 Gen9 Server, HPE ProLiant ML150 Gen9 Server, HPE ProLiant DL60 Gen9 Server, HPE ProLiant DL80 Gen9 Server, HPE ProLiant DL160 Gen9 Special Server, HPE ProLiant ML10 v2 Server, HPE ProLiant ML110 Gen9 Server, HPE ProLiant XL170r Gen9 Server, HPE ProLiant WS460c Gen9 Workstation, HPE ProLiant DL580 Gen9 Server, HP ProLiant DL580 Gen9 Server, HP ProLiant BL660c Gen9 Server, HPE ProLiant DL560 Gen9 Server, HPE ProLiant XL450 Gen9 Server, HPE ProLiant m710p Server Cartridge

l  ProLiant ML10 Gen8 服务器、ProLiant ML310e Gen8 服务器、ProLiant Microserver Gen8ProLiant XL260a Gen9 服务器、HPE Synergy 620 Gen9 计算模块、HPE Synergy 480 Gen9计算模块、ProLiant Thin Micro TM200ProLiant m510 服务器盒、ProLiant m300 服务器盒、ProLiant m350 服务器盒、ProLiant DL160 Gen8ProLiant DL320e Gen8ProLiant DL360e Gen8ProLiant DL360p Gen8ProLiant DL380e Gen8ProLiant DL380p Gen8ProLiant DL560 Gen8ProLiant DL580 Gen8ProLiant ML350e Gen8ProLiant ML350p Gen8ProLiant SL230s Gen8ProLiant SL250s Gen8ProLiant SL270s Gen8ProLiant BL420c Gen8ProLiant BL460c Gen8ProLiant BL660c Gen8ProLiant SL210t Gen8

l  三款采用Intel Xeon CPUBCS小型机服务器,包括:Integrity MC990xIntegrity Superdome XSuperdome Flex。以及相应的SAP HANA解决方案产品,包括:HPE ConvergedSystem 900 for SAP HANA Scale-up configurations (Intel Haswell architecture)HPE Superdome X Scale-up / Scale-out TDI configurations (Intel Haswell architecture)HPE Integrity MC990 X TDI Compute Block with the Intel Xeon E7-88XXv4

l  全线超融合产品,包括HC250Simplivity 380HPE SimpliVity 380 Gen9 NodesHPE SimpliVity 380 Gen10 NodesSimpliVity OmniCubeSimpliVity OmniStack for CiscoSimpliVity OmniStack for DELLSimpliVity OmniStack for LenovoHPE Hyper Converged 250 for VMware vSphereHPE Hyper Converged 250 for Microsoft Cloud Platform System StandardHyper Converged 380

l  File controller 文件服务器,包括: 3PAR StoreServ File Controller v3StoreVirtual 3000 File Controller

l  Non-Stop容错服务器,包括:HPE Integrity Nonstop X CPUs (x86)HPE NonStop System ConsolesHPE Integrity Nonstop X CPUs (x86)HPE Integrity Nonstop X CPUs (x86)

l  NAS存储,包括:StoreEasy 1450StoreEasy 1550StoreEasy 1650StoreEasy 1650EStoreEasy 1850StoreEasy 3850

HPE确认涉及但无安全风险产品:

l  企业存储,包括:Nimble Storage 3PAR StoreServ 7xxx3PAR StoreServ 8xxx3PAR StoreServ 9xxx3PAR StoreServ 10xxx3PAR StoreServ 20xxx3PAR StoreServ Service Processor DL120 G83PAR StoreServ Service Processor DL320e G83PAR StoreServ Service Processor DL120 G9 v33PAR StoreServ Service Processor DL120 G9 v43PAR StoreServ Service Processor DL360e G8XP7 Gen1 and Gen2 SVP & MPStoreOnce 3100StoreOnce 3520StoreOnce 3540StoreOnce 5100StoreOnce 5500StoreOnce 6600StoreOnce 2700 capacity upgrades onlyStoreOnce 2900 capacity upgrades onlyStoreOnce 4500 capacity upgrades onlyStoreOnce 4700 capacity upgrades onlyStoreOnce 4900 capacity upgrades onlyStoreOnce 6500 capacity upgrades onlyStoreOnce D2D2502iStoreOnce D2D2504iStoreOnce D2D4106iStoreOnce D2D4106fcStoreOnce D2D4112StoreOnce D2D4312StoreOnce D2D4324StoreOnce 2620 iSCSIStoreOnce 4210 iSCSIStoreOnce 4220StoreOnce 4420StoreOnce 4430StoreOnce B6200MSA 1040MSA 2040MSA 2042MSA 1050MSA 2050MSA 2052MSA  P2000 G3StoreVirtual 3200StoreVirtual 4130StoreVirtual 4330StoreVirtual 4330 FCStoreVirtual 4335StoreVirtual 4530StoreVirtual 4730StoreVirtual 4730 FCStoreVirtual 4630XP P9500 SVP & MPXP24000/20000 & MP

HPE确认不涉及产品如下:

l  HPE Itanium CPU不受这些漏洞的影响。确认不受影响的服务器包括:HPE Integrity BL860c,BL870c, BL890c i2HPE Integrity BL860c, BL870c, BL890c i4HPE Integrity BL860c,BL870c, BL890c i6HPE Integrity rx2800 i6,HPE Integrity rx2800 i4HPE Integrity  rx2800 i2HPE Integrity BL860cHPE Integrity BL870cHPE Integrity rx6600/rx3600HPE Integrity rx2660HPE 9000 Superdome sx1000/sx2000HPE Integrity NonStop i CPUs (Itanium)HP Integrity Superdome 2 CB900s i6, i4 & i2 Server

H3C产品解决方案】

自微处理器漏洞发布以来,H3C 研发团队第一时间跟进该漏洞的原理分析和修复措施研究,并已经确定通过升级版本的方式可以有效地修复该安全漏洞,目前H3C研发团队正在实验室对修复后的底层软件进行功能与性能遍历测试。H3C 研发团队会继续紧跟CPU硬件漏洞的最新消息,对H3C产品的安全性做出更全面的防护。

涉及的产品的解决方案:

l  CAS

2018115 前发布E0306系列版本的升级版本E0306H192018129日前发布E050X系列版本的升级版本,版本号待定。

l  云桌面、云学堂系列产品

近期将发布修复漏洞的升级版本,版本号待定。

l  H3CloudOS

20181月中旬前发布修复漏洞的升级版本,版本号待定。

l  分布式存储

H3C UniStor X10000 20182月底发布修复漏洞的升级版本,版本号待定。

H3C ONEStor2.0/1.0分离方式部署涉及OS20182月底发布修复漏洞的2.0升级版本,版本号待定。H3C ONEStor 1.0以升级方式解决。

l  H3C服务器产品

R4900/R390X G2计划于2018214日正式发布BIOS版本。

R4900/R4700/R2900/R2700 G3计划于2018214日正式发布BIOS版本。

H3C FlexServer服务器、H3C UIS G2服务器、H3C Converged Fabric 企业存储、H3C Converged Protect 企业存储、H3C Flex Storage 企业存储计划于20183月底正式发布BIOS版本。

l  部分业务软件产品(ADCAMADCARU-CenterAOMSOC

准备将CentOS版本Linux内核升级到解决漏洞的新版本,计划20183月底发布版本,版本号待定。

l  部分NFV产品(VBRASSOVNFMNFVOVNF1000 系列)

VBRASSOVNFM 已启动对接,正在适配解决漏洞操作系统,适配成功后会刷新解决漏洞的操作系统版本号。

NFVO产品将近期发布解决漏洞内核的对接版本。

VNF1000 系列(VSR1000/VFW1000/VLB1000/VBRAS1000/VLNS1000)需要适配解决漏洞操作系统,计划2月底发布修复漏洞的升级版本,版本号待定。

l  SDNvSwitchSDN ControllerLicense Server

vSwitchLicense Server正在适配解决漏洞操作系统,适配成功后会刷新解决漏洞的操作系统版本号。

VCFCSDN Controller)涉及漏洞问题,计划20181月底发布修复漏洞的升级版本,版本号待定。

l  SDN广域网产品(AD-WAN

目前广域网SDN产品支持的两个操作系统版本:CentOS 6.5Ubuntu版本14.04.4 LTS,官方补丁已发布,计划适配解决漏洞操作系统,适配成功后会刷新解决漏洞的操作系统版本号。

l  大数据软件

正在适配解决漏洞操作系统,计划20182月中旬发布修复漏洞的升级版本,版本号待定。

l  中低端路由器OAP单板

此单板解决方案视客户具体使用的操作系统而定,建议升级到官方推荐的解决漏洞的操作系统。

HPE产品解决方案】

自微处理器漏洞发布以来,由于涉及到的产品众多,HPE将解决方案汇总到一起,每天都在更新进展:

https://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

方案进展分为四种情况:

情况1:给出了具体版本,即表示有解决方案。

情况2Fix Under investigation 代表正在评估易受攻击性。

情况3Vulnerable - Fix Under Development 代表易受攻击,解决方案在开发中。

情况4Not Vulnerable Product doesnt allow arbitrary code execution. 代表封闭产品设计,具有“不允许任意代码执行”的特点,可避免受到安全攻击,HPE目前没有推出修补方案的计划。

HPE所有产品可以根据网站查询结果,获取解决方案。

 

如有问题,请联系新华三集团公司服务热线:4008100504

 

新华三官网
联系我们