更多 选择语言
安全预警 - Intel Processors信息泄露漏洞L1D
预警编号:INSPUR-SA-202005-002
初始发布时间:2020-05-19 19:33:00
更新发布时间:2020-08-07 17:59:22
漏洞来源:

intel官方披露

漏洞影响:

攻击者可以采用边信道方法来推断来自L1D填充缓冲区的数据,导致信息泄露。

漏洞描述:

2020年01月27日,英特尔发布安全更新,披露2个intel处理器安全漏洞,CVE编号为CVE-2020-0548和CVE-2020-0549,可导致信息泄露等。漏洞详细信息如下:
CVE-2020-0549:L1D Eviction Sampling
在某些微体系结构条件下的某些处理器上,来自最近撤回的修改的L1数据高速缓存(L1D)行的数据可能会传送到未使用的无效的L1D填充缓冲区中。 在受微体系结构数据采样(MDS)或事务性异步中止(TAA)影响的处理器上,可以使用这两种数据采样边信道方法之一来推断来自L1D填充缓冲区的数据。 通过将这两种行为组合在一起,攻击者就有可能从先前从L1数据高速缓存中逐出的修改后的高速缓存行中推断出数据值。
CVE-2020-0548:
某些英特尔处理器中的清除错误,可能导致经过身份验证的用户通过本地访问获取信息。该漏洞intel给出的CVSS评分为2.8,低危漏洞。

CVSS评分:

CVE V3.1 Vector(Base) Base Score V3.1 Vector(Temporal Score) Temporal Score
CVE-2020-0549 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 5.5 E:U/RL:O/RC:C 4.8
CVE-2020-0548 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 5.5 E:U/RL:O/RC:C 4.8

受影响产品:

产品名称 修复补丁包/升级包版本
SN5161M5 SN5161M5_BIOS_4.1.04_Standard_20200228
TS860M5 TS860M5_BIOS_4.1.11_Standard_20200303
NS5162M5 NS5162M5_BIOS_4.1.10_Standard_20200429
NF5468M5 NF5468M5_BIOS_4.1.14_Standard_20200327
NF5288M5 NF5288M5_BIOS_4.1.08_Standard_20200503
NF8480M5 NF8480M5_BIOS_4.1.13_Standard_20200428
NX5460M5 NX5460M5_BIOS_4.1.06_Standard_20200504
NF5180M5 NF5180M5_BIOS_4.1.10_Standard_20200522
NS5488M5
NS5484M5
NS5482M5
Sentosa_BIOS_4.1.10_standard_20200502
NF8380M5 NF8380M5_BIOS_4.1.5_Standard_20200506
NF8260M5 NF8260M5_BIOS_4.1.13_Standard_20200422
NF5266M5 NF5266M5_BIOS_3.1.5_Standard_20200512
NF5280M5 NF5280M5_BIOS_4.1.16_Standard_20200623
NF5488M5
NF5888M5
NF5488M5_BIOS_4.1.2_Standard_20200502
NF5270M5 NF5270M5_BIOS_4.1.5_Standard_20200725
NF5466M5 NF5466M5_BIOS_4.1.16_Standard_20200623

技术细节:

漏洞解决方案:

下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接:https://www.inspur.com/eportal/ui?pageId=2317460&typ

FAQ:

更新记录:

20200807-V1.3-Update 更新修复版本信息

20200713-V1.2-Update 更新修复版本信息

20200609-V1.1-Update 更新修复版本信息

20200521-V1.0-Initial Release

浪潮安全应急响应对外服务:
浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品安全问题: https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg
订阅浪潮产品安全信息: https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持:https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html

声明

本文档提供的所有数据和信息仅供参考,且"按原样"提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。在任何情况下,浪潮或其直接或间接控制的子公司,或其供应商,均不对任何一方因依赖或使用本信息而遭受的任何损失承担责任,包括直接,间接,偶然,必然的商业利润损失或特殊损失。浪潮保留随时更改或更新此文档的权利。


线




×
联系我们
服务器、存储、网络产品购买热线
400-860-6708
ERP、管理软件购买热线
400-018-7700
云服务产品销售热线
400-607-6657