更多 选择语言
安全预警--intel处理器“VoltJockey”等安全漏洞
预警编号:INSPUR-SA-202003-002
初始发布时间:2020-03-10 10:54:41
更新发布时间:2020-04-03 16:52:22
漏洞来源:

intel官方披露

漏洞影响:

本地攻击者可利用这些漏洞提升权限或获取信息

漏洞描述:

2019年12月10日,英特尔发布安全更新,披露多个安全漏洞,其中intel Processors漏洞CVE-2019-11157和CVE-2019-14607可导致权限提升或信息泄露等。漏洞详细信息如下:
INTEL-SA-00289:CVE-2019-11157
某些Intel(R)处理器的电压设置模块(voltage settings)因检查条件不当可能会使经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
INTEL-SA-00317:CVE-2019-14607
多个intel处理器因不正确的条件检测可能会允许经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
浪潮受影响产品及对应修复版本见下表。随着相关工作的持续进行,浪潮PSIRT会随时更新该安全预警,请持续关注。

CVSS评分:

使用CVSSv3标准评分(https://www.first.org/cvss/calculator/3.0
CVE-2019-11157:
CVSS Base Score: 6.0(AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
CVSS Temporal Score:5.4 (E:P/RL:O/RC:C)
CVE-2019-14607:
CVSS Base Score: 5.3(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
CVSS Temporal Score:4.8(E:P/RL:O/RC:C)

受影响产品:

Product BIOS Update version
NF5180M5 NF5180M5_BIOS_4.1.8_Standard_20200117
NS5162M5 NS5162M5_BIOS_4.1.9_Standard_20191214
NF5266M5 NF5266M5_BIOS_3.1.4_Standard_20191222
NF5270M5 NF5270M5_BIOS_4.1.3_standard_20191122
NF5468M5 NF5468M5_BIOS_4.1.13_Standard_20200121
NF5280M5 NF5280M5_BIOS_4.1.13_Standard_20200116
SN5161M5 SN5161M5_BIOS_4.1.04_Standard_20200228
NF5288M5 NF5288M5_BIOS_4.1.06_Standard_20191127
NF5466M5 NF5466M5_BIOS_4.1.13_Standard_20200116
NF8380M5 NF8380M5_BIOS_4.1.4_Standard_20200117
NF5488M5
NF5888M5
NF5488M5_BIOS_4.1. 0_Standard_20200103
NX5460M5 NX5460M5_BIOS_4.1.05_Standard_20200218
NF8480M5 NF8480M5_BIOS_4.1.11_Standard_20191226
TS860M5 TS860M5_BIOS_4.1.11_Standard_20200303
NS5488M5
NS5484M5
NS5482M5
Sentosa_BIOS_4.1.08_standard_20191213
NF8260M5 NF8260M5_BIOS_4.1.12_Standard_20200115

技术细节:

1. 前提条件:
攻击者必须可以在受影响设备上执行恶意代码。
2. 攻击步骤:
成功利用该漏洞,可可导致权限提升或信息泄露。

漏洞解决方案:

下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接:https://www.inspur.com/eportal/ui?pageId=2317460&type=0

FAQ:

更新记录:

20200403-V1.2-Updated 更新修复版本信息

20200327-V1.1-Updated 更新修复版本信息

20200310-V1.0-Initial Release

浪潮安全应急响应对外服务:
浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品安全问题: https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg
订阅浪潮产品安全信息: https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持:https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html

声明

本文档提供的所有数据和信息仅供参考,且"按原样"提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。在任何情况下,浪潮或其直接或间接控制的子公司,或其供应商,均不对任何一方因依赖或使用本信息而遭受的任何损失承担责任,包括直接,间接,偶然,必然的商业利润损失或特殊损失。浪潮保留随时更改或更新此文档的权利。


线




×
联系我们
服务器、存储、网络产品购买热线
400-860-6708
ERP、管理软件购买热线
400-018-7700
云服务产品销售热线
400-607-6657