Benutzer:MathiasMahnke/Hardware Verwundbarkeit 2019: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Microcode Update alle Server abgeschlossen)
 
(40 dazwischenliegende Versionen von einem Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
Analog [[Benutzer:MathiasMahnke/Hardware Verwundbarkeit 2018|2018]] sind Verwundbarkeiten unserer eingesetzten Hardware für Server vorhanden. Status der Aktualisierungen nach Stand 05/2019:
+
Analog [[Benutzer:MathiasMahnke/Hardware Verwundbarkeit 2018|2018]] sind Verwundbarkeiten unserer eingesetzten Hardware für Server vorhanden. Status der Aktualisierungen 05/2019:
  
 
{| {{prettytable}}
 
{| {{prettytable}}
 
!
 
!
!Intel Microcode
+
!CPU Microcode
!IPMI Firmware
+
!IPMI
 
!BIOS
 
!BIOS
!uEFI
+
!UEFI
 
!OS Driver Pack
 
!OS Driver Pack
!NIC BCM5720
+
!NIC
!SAS RAID H330
+
!SAS/RAID
 +
!QEMU
 +
!libvirt
 
|-
 
|-
!Version Dell R330
+
!Dell R330
|3.20190514.1
+
|3.20190618.1
 
|2.63.60.61
 
|2.63.60.61
 
|2.6.1
 
|2.6.1
Zeile 19: Zeile 21:
 
|21.40.9
 
|21.40.9
 
|25.5.5.0005
 
|25.5.5.0005
 +
|1:2.8+dfsg-6+deb9u7
 +
|3.0.0-4+deb9u4
 
|-
 
|-
 
|[[Server/ryoko]]
 
|[[Server/ryoko]]
|Warten (0xb4) -- ''Debian Buster''
+
|OK (0xca) - E3-1270v6
 +
|OK
 +
|OK
 
|OK
 
|OK
 
|OK
 
|OK
Zeile 30: Zeile 36:
 
|-
 
|-
 
|[[Server/aqua]]
 
|[[Server/aqua]]
|OK (0xc6)
+
|OK (0xd6) - E3-1270v5
 +
|OK
 +
|OK
 +
|OK
 
|OK
 
|OK
 
|OK
 
|OK
 
|OK
 
|OK
|
 
 
|OK
 
|OK
 
|OK
 
|OK
 
|-
 
|-
 
|[[Server/tamago]]
 
|[[Server/tamago]]
 +
|OK (0xca) - E3-1270v6
 +
|OK
 +
|OK
 +
|OK
 +
|OK
 +
|OK
 +
|OK
 +
|OK
 +
|OK
 +
|-
 +
!Dell SC1435
 +
|3.20160316.3
 +
|
 
|
 
|
 
|
 
|
Zeile 47: Zeile 68:
 
|
 
|
 
|-
 
|-
!Version ??
+
|[[Server/titan]]
|3.20190514.1
+
|OK (0x10000db) - Opt. 2376
|??
+
|
|??
+
|
|??
+
|
|??
+
|
|??
+
|
|??
+
|
 +
|N/A
 +
|N/A
 
|-
 
|-
|[[Server/akito]]
+
!Mietserver (Fujitsu)
|OK (0x8e)
+
|3.20190618.1
 +
|
 +
|1.19.0.SR.1
 
|
 
|
 
|
 
|
Zeile 64: Zeile 89:
 
|
 
|
 
|
 
|
 +
|-
 +
|[[Server/akito]]
 +
|OK (0xca) - i7-7700
 +
|unbekannt
 +
|OK (Spectre v4, no MDS)
 +
|unbekannt
 +
|unbekannt
 +
|unbekannt
 +
|unbekannt
 +
|OK
 +
|OK
 
|-
 
|-
 
|}
 
|}
 +
 +
Alle Opennet Server incl. VMs haben ein Kernel Update zu 4.9.168-1+deb9u2 erhalten.
  
 
Informationen:
 
Informationen:
 
* Dell-EMC: https://www.dell.com/support/home/us/en/04/product-support/product/poweredge-r330/drivers
 
* Dell-EMC: https://www.dell.com/support/home/us/en/04/product-support/product/poweredge-r330/drivers
* MDS: https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html (auch "ZombieLoad" genannt)
+
* Hetzner: https://wiki.hetzner.de/index.php/CPU_vulnerabilities_based_on_Spectre_and_Meltdown
 +
* MDS (auch unter "ZombieLoad" bekannt):
 +
** https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html  
 +
** https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
 +
* QEMU MDS: https://www.debian.org/security/2019/dsa-4454
  
 
Kontrolle:
 
Kontrolle:
* Intel Microcode: <code>journalctl -b -k | grep microcode</code>
+
* Intel Microcode:
 +
journalctl -b -k | grep microcode
 +
cat /sys/devices/system/cpu/vulnerabilities/*
 
* iDRAC Firmware und BIOS: HTTPS <hostname>-ipmi.on > Server-Informationen
 
* iDRAC Firmware und BIOS: HTTPS <hostname>-ipmi.on > Server-Informationen
 
* OS Driver, NIC, SAS RAID: via LifeCycle Controller, erreichbar über HTTPS <hostname>-ipmi.on > Virtuelle Console > Serverboot Menu > F10
 
* OS Driver, NIC, SAS RAID: via LifeCycle Controller, erreichbar über HTTPS <hostname>-ipmi.on > Virtuelle Console > Serverboot Menu > F10
 +
 +
Quellen:
 +
* iDRAC-with-Lifecycle-Controller_Firmware_40T1C_WN32_2.63.60.61_A00.EXE und BIOS_TCC0H_WN64_2.6.1.EXE, eingespielt via IPMI
 +
* OS Driver, NIC, SAS RAID: via LifeCycle Controller Download von ''ftp.dell.com'' (Server NIC1 muss passend zum Standort konfiguriert sein, Static IP bzw. DHCP / DHCPv6)
 +
* Intel Microcode: ''intel-microcode'' via Debian Apt Repository (non-free, contrib)
 +
* Hetzner HW: https://wiki.hetzner.de/index.php/Spectre_and_Meltdown_Firmware_Updates#Update_Script

Aktuelle Version vom 15. Dezember 2019, 08:18 Uhr

Analog 2018 sind Verwundbarkeiten unserer eingesetzten Hardware für Server vorhanden. Status der Aktualisierungen 05/2019:

CPU Microcode IPMI BIOS UEFI OS Driver Pack NIC SAS/RAID QEMU libvirt
Dell R330 3.20190618.1 2.63.60.61 2.6.1 4239A36 18.12.04 21.40.9 25.5.5.0005 1:2.8+dfsg-6+deb9u7 3.0.0-4+deb9u4
Server/ryoko OK (0xca) - E3-1270v6 OK OK OK OK OK OK OK OK
Server/aqua OK (0xd6) - E3-1270v5 OK OK OK OK OK OK OK OK
Server/tamago OK (0xca) - E3-1270v6 OK OK OK OK OK OK OK OK
Dell SC1435 3.20160316.3
Server/titan OK (0x10000db) - Opt. 2376 N/A N/A
Mietserver (Fujitsu) 3.20190618.1 1.19.0.SR.1
Server/akito OK (0xca) - i7-7700 unbekannt OK (Spectre v4, no MDS) unbekannt unbekannt unbekannt unbekannt OK OK

Alle Opennet Server incl. VMs haben ein Kernel Update zu 4.9.168-1+deb9u2 erhalten.

Informationen:

Kontrolle:

  • Intel Microcode:
journalctl -b -k | grep microcode
cat /sys/devices/system/cpu/vulnerabilities/*
  • iDRAC Firmware und BIOS: HTTPS <hostname>-ipmi.on > Server-Informationen
  • OS Driver, NIC, SAS RAID: via LifeCycle Controller, erreichbar über HTTPS <hostname>-ipmi.on > Virtuelle Console > Serverboot Menu > F10

Quellen:

  • iDRAC-with-Lifecycle-Controller_Firmware_40T1C_WN32_2.63.60.61_A00.EXE und BIOS_TCC0H_WN64_2.6.1.EXE, eingespielt via IPMI
  • OS Driver, NIC, SAS RAID: via LifeCycle Controller Download von ftp.dell.com (Server NIC1 muss passend zum Standort konfiguriert sein, Static IP bzw. DHCP / DHCPv6)
  • Intel Microcode: intel-microcode via Debian Apt Repository (non-free, contrib)
  • Hetzner HW: https://wiki.hetzner.de/index.php/Spectre_and_Meltdown_Firmware_Updates#Update_Script
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge