漏洞描述：

2019年12月10日，英特尔发布安全更新，披露多个安全漏洞，其中intel Processors漏洞CVE-2019-11157和CVE-2019-14607可导致权限提升或信息泄露等。漏洞详细信息如下：
INTEL-SA-00289：CVE-2019-11157
某些Intel（R）处理器的电压设置模块（voltage settings）因检查条件不当可能会使经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
INTEL-SA-00317：CVE-2019-14607
多个intel处理器因不正确的条件检测可能会允许经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
浪潮受影响产品及对应修复版本见下表。随着相关工作的持续进行，浪潮PSIRT会随时更新该安全预警，请持续关注。

CVSS评分：

使用CVSSv3标准评分（https://www.first.org/cvss/calculator/3.0）
CVE-2019-11157：
CVSS Base Score: 6.0（AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H）
CVSS Temporal Score：5.4 (E:P/RL:O/RC:C)
CVE-2019-14607：
CVSS Base Score: 5.3（AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L）
CVSS Temporal Score：4.8(E:P/RL:O/RC:C)

受影响产品：

Product	BIOS Update version
NF5180M5	NF5180M5_BIOS_4.1.8_Standard_20200117
NS5162M5	NS5162M5_BIOS_4.1.9_Standard_20191214
NF5266M5	NF5266M5_BIOS_3.1.4_Standard_20191222
NF5270M5	NF5270M5_BIOS_4.1.3_standard_20191122
NF5468M5	NF5468M5_BIOS_4.1.13_Standard_20200121
NF5280M5	NF5280M5_BIOS_4.1.13_Standard_20200116
SN5161M5	SN5161M5_BIOS_4.1.04_Standard_20200228
NF5288M5	NF5288M5_BIOS_4.1.06_Standard_20191127
NF5466M5	NF5466M5_BIOS_4.1.13_Standard_20200116
NF8380M5	NF8380M5_BIOS_4.1.4_Standard_20200117
NF5488M5 NF5888M5	NF5488M5_BIOS_4.1. 0_Standard_20200103
NX5460M5	NX5460M5_BIOS_4.1.05_Standard_20200218
NF8480M5	NF8480M5_BIOS_4.1.11_Standard_20191226
TS860M5	TS860M5_BIOS_4.1.11_Standard_20200303
NS5488M5 NS5484M5 NS5482M5	Sentosa_BIOS_4.1.08_standard_20191213
NF8260M5	NF8260M5_BIOS_4.1.12_Standard_20200115

技术细节：

1. 前提条件：
攻击者必须可以在受影响设备上执行恶意代码。
2. 攻击步骤：
成功利用该漏洞，可可导致权限提升或信息泄露。

漏洞解决方案：

下载对应产品型号的BIOS修复版本，执行升级BIOS操作，重启系统后生效。
获取链接：https://www.inspur.com/eportal/ui?pageId=2317460&type=0

FAQ：

无

更新记录：

20200403-V1.2-Updated 更新修复版本信息

20200327-V1.1-Updated 更新修复版本信息

20200310-V1.0-Initial Release

浪潮安全应急响应对外服务：

获取技术支持：https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html