更多 选择语言
安全公告-关于intel处理器TAA等安全漏洞的声明
初始发布时间:2019-11-15 08:26:58
更新发布时间:2020-03-19 08:54:47
漏洞描述:

2019年11月12号,Intel公开了多个安全漏洞,可能导致特权提升,服务拒绝或信息泄露。英特尔已发布固件和软件更新,以缓解这些潜在漏洞。漏洞详细信息如下:
Intel-SA-00240: CVE-2019-0151
Intel(R) Core Processors 和 Intel(R) Xeon(R) Processors由于Intel(R) TXT对内存保护不足,可能会使已授权用户通过本地访问提升权限。
Intel-SA-00241: CVE-2019-11090(fTPM漏洞), CVE-2019-11109
Intel(R)SPS子系统安全问题(Improper directory permissions、Cryptographic timing conditions)
Intel-SA-00270: CVE-2019-11135
使用推测执行的某些CPU上的TSX异步中止条件(TAA)可能允许经过身份验证的用户通过边信道攻击获取敏感信息。
Intel-SA-00271: CVE-2019-11139
某些Intel(R) Xeon(R) 可扩展处理器在Voltage Setting Modulation(电压设置调制)中不当的条件检测,可能会使已授权用户通过本地访问造成拒绝服务。
Intel-SA-00280: CVE-2019-11136, CVE-2019-11137
某些Intel(R) Xeon(R) 可扩展处理器由于输入验证不足/访问控制不足,可能会使已授权用户通过本地访问造成特权升级,拒绝服务和/或信息泄露。
浪潮已经发布安全预警(SA),客户可通过安全预警获取漏洞修复方案。请持续关注针对此事件的安全公告。

受影响产品:

浪潮通用M5产品存在漏洞Intel-SA-00240、Intel-SA-00270、Intel-SA-00271、Intel-SA-00280,详细受影响产品如下表所示:

产品 受影响版本
NS5488M5
NS5484M5
NS5482M5
4.1.07 and earlier
SN5161M5 4.1.01 and earlier
NF8480M5 4.1.10 and earlier
NX5460M5 4.1.03 and earlier
NF5288M5 4.1.05 and earlier
TS860M5 4.1.09 and earlier
NF5280M5 4.1.11 and earlier
NF5466M5 4.1.8 and earlier
NF5180M5 4.1.5 and earlier
NS5162M5 4.1.6 and earlier
NF5266M5 3.1.3 and earlier
NF5270M5 4.1.2 and earlier
NF8380M5 4.1.3 and earlier
NF8260M5 4.1.11 and earlier
NF5468M5 3.1.6 and earlier
NF5488M5
NF5888M5
3.1.3 and earlier
NF5568M5 3.1.0 and earlier

参考链接:

INTEL-SA-00240:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00240.html
INTEL-SA-00241:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00241.html
INTEL-SA-00270:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html
INTEL-SA-00271:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00271.html
INTEL-SA-00280:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00280.html

更新记录:

2020-03-19 V1.2 UPDATE 增加受影响产品列表

2019-11-16 V1.1 UPDATE 增加受影响产品列表

2019-11-15 V1.0 INITIAL

浪潮安全应急响应对外服务:

浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。

反馈浪潮产品安全问题:https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg

订阅浪潮产品安全信息:https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持:https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html


线




×
联系我们
服务器、存储、网络产品购买热线
400-860-6708
ERP、管理软件购买热线
400-018-7700
云服务产品销售热线
400-607-6657