凯发k8一触即发

服务器、存储、网络产品购买热线:400-860-6708 ERP、管理软件购买热线:400-018-7700云服务产品销售热线:400-607-6657
安全预警--intel处理器“VoltJockey”等安全漏洞
预警编号:INSPUR-SA-202003-002
初始发布时间:2020-03-10 10:54:41
更新发布时间:2020-04-03 16:52:22
漏洞概述:

2019年12月10日,英特尔发布安全更新,披露多个安全漏洞,其中intel Processors漏洞CVE-2019-11157和CVE-2019-14607可导致权限提升或信息泄露等。漏洞详细信息如下:
INTEL-SA-00289:CVE-2019-11157
某些Intel(R)处理器的电压设置模块(voltage settings)因检查条件不当可能会使经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
INTEL-SA-00317:CVE-2019-14607
多个intel处理器因不正确的条件检测可能会允许经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
凯发k8一触即发受影响产品及对应修复版本见下表。随着相关工作的持续进行,凯发k8一触即发PSIRT会随时更新该安全预警,请持续关注。

已完成修复的产品版本:
Product BIOS Update version
NF5180M5 NF5180M5_BIOS_4.1.8_Standard_20200117
NS5162M5 NS5162M5_BIOS_4.1.9_Standard_20191214
NF5266M5 NF5266M5_BIOS_3.1.4_Standard_20191222
NF5270M5 NF5270M5_BIOS_4.1.3_standard_20191122
NF5468M5 NF5468M5_BIOS_4.1.13_Standard_20200121
NF5280M5 NF5280M5_BIOS_4.1.13_Standard_20200116
SN5161M5 SN5161M5_BIOS_4.1.04_Standard_20200228
NF5288M5 NF5288M5_BIOS_4.1.06_Standard_20191127
NF5466M5 NF5466M5_BIOS_4.1.13_Standard_20200116
NF8380M5 NF8380M5_BIOS_4.1.4_Standard_20200117
NF5488M5
NF5888M5
NF5488M5_BIOS_4.1. 0_Standard_20200103
NX5460M5 NX5460M5_BIOS_4.1.05_Standard_20200218
NF8480M5 NF8480M5_BIOS_4.1.11_Standard_20191226
TS860M5 TS860M5_BIOS_4.1.11_Standard_20200303
NS5488M5
NS5484M5
NS5482M5
Sentosa_BIOS_4.1.08_standard_20191213
NF8260M5 NF8260M5_BIOS_4.1.12_Standard_20200115

影响后果:

本地攻击者可利用这些漏洞提升权限或获取信息

漏洞得分:

使用CVSSv3标准评分()
CVE-2019-11157:
CVSS Base Score: 6.0(AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
CVSS Temporal Score:5.4 (E:P/RL:O/RC:C)
CVE-2019-14607:
CVSS Base Score: 5.3(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
CVSS Temporal Score:4.8(E:P/RL:O/RC:C)

技术细节:

1. 前提条件:
攻击者必须可以在受影响设备上执行恶意代码。
2. 攻击步骤:
成功利用该漏洞,可可导致权限提升或信息泄露。

版本获取链接:

下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接://jp-nsk.net/eportal/ui?pageId=2317460&type=0

规避措施:

漏洞来源:

intel官方披露

更新记录:

20200403-V1.2-Updated 更新修复版本信息

20200327-V1.1-Updated 更新修复版本信息

20200310-V1.0-Initial Release

FAQs:

凯发k8一触即发安全应急响应对外服务:

凯发k8一触即发安全应急响应对外服务:凯发k8一触即发一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈凯发k8一触即发产品和解决方案安全问题,请反馈至凯发k8一触即发PSIRT邮箱sec@jp-nsk.net,详情参考//jp-nsk.net/lcjtww/2312126/2432763/index.html

关于凯发k8一触即发

集团简介 企业文化 董事长致辞 联系凯发k8一触即发 关注凯发k8一触即发

新闻与活动

新闻公告 市场活动 科技战“疫”

如何购买

需求工单 查找经销商

探索凯发k8一触即发

通用服务器 存储 人工智能 爱城市网

支持与服务

支持下载 视频中心 服务进度查询 安全通告

快速链接

投行项目 投资者关系 道德遵从

在社交媒体上关注凯发k8一触即发

©1996 - 2020 INSPUR Co., Ltd.

凯发k8一触即发集团

拨打咨询电话

呼叫在线客服