预警编号:INSPUR-SA-202003-001
初始发布时间:2020-03-09 08:58:03
更新发布时间:2020-04-03 16:54:45
漏洞概述:
2019年11月12号,Intel公开了多个安全漏洞,可能导致特权提升,服务拒绝或信息泄露。英特尔已发布固件和软件更新,以缓解这些潜在漏洞。漏洞详细信息如下:
Intel-SA-00240: CVE-2019-0151
Intel(R) Core Processors 和 Intel(R) Xeon(R) Processors由于Intel(R) TXT对内存保护不足,可能会使已授权用户通过本地访问提升权限。
Intel-SA-00241: CVE-2019-11090(fTPM漏洞), CVE-2019-11109
Intel(R)SPS子系统安全问题(Improper directory permissions、Cryptographic timing conditions)
Intel-SA-00270: CVE-2019-11135
使用推测执行的某些CPU上的TSX异步中止条件(TAA)可能允许经过身份验证的用户通过边信道攻击获取敏感信息。
Intel-SA-00271: CVE-2019-11139
某些Intel(R) Xeon(R) 可扩展处理器在Voltage Setting Modulation(电压设置调制)中不当的条件检测,可能会使已授权用户通过本地访问造成拒绝服务。
Intel-SA-00280: CVE-2019-11136, CVE-2019-11137
某些Intel(R) Xeon(R) 可扩展处理器由于输入验证不足/访问控制不足,可能会使已授权用户通过本地访问造成特权升级,拒绝服务和/或信息泄露。
已完成修复的产品版本:
| Product |
BIOS Update version |
| NF5180M5 |
NF5180M5_BIOS_4.1.8_Standard_20200117 |
| NS5162M5 |
NS5162M5_BIOS_4.1.9_Standard_20191214 |
| NF5266M5 |
NF5266M5_BIOS_3.1.4_Standard_20191222 |
| NF5270M5 |
NF5270M5_BIOS_4.1.3_standard_20191122 |
| NF5468M5 |
NF5468M5_BIOS_4.1.13_Standard_20200121 |
| NF5280M5 |
NF5280M5_BIOS_4.1.13_Standard_20200116 |
| SN5161M5 |
SN5161M5_BIOS_4.1.04_Standard_20200228 |
| NF5288M5 |
NF5288M5_BIOS_4.1.06_Standard_20191127 |
| NF5466M5 |
NF5466M5_BIOS_4.1.13_Standard_20200116 |
| NF8380M5 |
NF8380M5_BIOS_4.1.4_Standard_20200117 |
NF5488M5
NF5888M5 |
NF5488M5_BIOS_4.1. 0_Standard_20200103 |
| NX5460M5 |
NX5460M5_BIOS_4.1.05_Standard_20200218 |
| NF8480M5 |
NF8480M5_BIOS_4.1.11_Standard_20191226 |
| TS860M5 |
TS860M5_BIOS_4.1.11_Standard_20200303 |
NS5488M5
NS5484M5
NS5482M5 |
Sentosa_BIOS_4.1.08_standard_20191213 |
| NF8260M5 |
NF8260M5_BIOS_4.1.12_Standard_20200115 |
影响后果:
攻击者成功利用这些漏洞,可能导致特权提升,服务拒绝或信息泄露
漏洞得分:
Intel-SA-00240: CVE-2019-0151
CVSS Base Score: 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVSS Temporal Score:6.0 (E:P/RL:O/RC:C)
Intel-SA-00241: CVE-2019-11090
CVSS Base Score: 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
CVSS Temporal Score:5.3 (E:P/RL:O/RC:C)
Intel-SA-00270: CVE-2019-11135
CVSS Base Score: 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)
CVSS Temporal Score:5.9 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11139
CVSS Base Score: 6.0(AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
CVSS Temporal Score:5.4 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11136
CVSS Base Score: 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVSS Temporal Score:6.0 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11137
CVSS Base Score: 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
CVSS Temporal Score:7.4 (E:P/RL:O/RC:C)
技术细节:
无
版本获取链接:
下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接:https://www.inspur.com/eportal/ui?pageId=2317460&type=0
规避措施:
无
漏洞来源:
intel官方披露
更新记录:
20200403-V1.2-Updated 更新修复版本信息
20200327-V1.1-Updated 更新修复版本信息
20200309-V1.0-Initial Release
FAQs:
无
浪潮安全应急响应对外服务:
浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品和解决方案安全问题,请反馈至浪潮PSIRT邮箱sec@inspur.com,详情参考:https://www.inspur.com/lcjtww/2312126/2432763/index.html
需求工单
售前咨询
查找经销商
需求工单
售前咨询
查找经销商
