2019年12月10日,英特尔发布安全更新,披露多个安全漏洞,其中intel Processors漏洞CVE-2019-11157和CVE-2019-14607可导致权限提升或信息泄露等。漏洞详细信息如下:
INTEL-SA-00289:CVE-2019-11157
某些Intel(R)处理器的电压设置模块(voltage settings)因检查条件不当可能会使经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
INTEL-SA-00317:CVE-2019-14607
多个intel处理器因不正确的条件检测可能会允许经过身份验证的用户通过通过本地访问提升权限和/或获取敏感信息。
凯发k8一触即发受影响产品及对应修复版本见下表。随着相关工作的持续进行,凯发k8一触即发PSIRT会随时更新该安全预警,请持续关注。
Product | BIOS Update version |
NF5180M5 | NF5180M5_BIOS_4.1.8_Standard_20200117 |
NS5162M5 | NS5162M5_BIOS_4.1.9_Standard_20191214 |
NF5266M5 | NF5266M5_BIOS_3.1.4_Standard_20191222 |
NF5270M5 | NF5270M5_BIOS_4.1.3_standard_20191122 |
NF5468M5 | NF5468M5_BIOS_4.1.13_Standard_20200121 |
NF5280M5 | NF5280M5_BIOS_4.1.13_Standard_20200116 |
SN5161M5 | SN5161M5_BIOS_4.1.04_Standard_20200228 |
NF5288M5 | NF5288M5_BIOS_4.1.06_Standard_20191127 |
NF5466M5 | NF5466M5_BIOS_4.1.13_Standard_20200116 |
NF8380M5 | NF8380M5_BIOS_4.1.4_Standard_20200117 |
NF5488M5 NF5888M5 |
NF5488M5_BIOS_4.1. 0_Standard_20200103 |
NX5460M5 | NX5460M5_BIOS_4.1.05_Standard_20200218 |
NF8480M5 | NF8480M5_BIOS_4.1.11_Standard_20191226 |
TS860M5 | TS860M5_BIOS_4.1.11_Standard_20200303 |
NS5488M5 NS5484M5 NS5482M5 |
Sentosa_BIOS_4.1.08_standard_20191213 |
NF8260M5 | NF8260M5_BIOS_4.1.12_Standard_20200115 |
本地攻击者可利用这些漏洞提升权限或获取信息
漏洞得分:使用CVSSv3标准评分()
CVE-2019-11157:
CVSS Base Score: 6.0(AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
CVSS Temporal Score:5.4 (E:P/RL:O/RC:C)
CVE-2019-14607:
CVSS Base Score: 5.3(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
CVSS Temporal Score:4.8(E:P/RL:O/RC:C)
1. 前提条件:
攻击者必须可以在受影响设备上执行恶意代码。
2. 攻击步骤:
成功利用该漏洞,可可导致权限提升或信息泄露。
下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接://jp-nsk.net/eportal/ui?pageId=2317460&type=0
无
漏洞来源:intel官方披露
更新记录:20200403-V1.2-Updated 更新修复版本信息
20200327-V1.1-Updated 更新修复版本信息
20200310-V1.0-Initial Release
FAQs:无
凯发k8一触即发安全应急响应对外服务:凯发k8一触即发安全应急响应对外服务:凯发k8一触即发一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈凯发k8一触即发产品和解决方案安全问题,请反馈至凯发k8一触即发PSIRT邮箱sec@jp-nsk.net,详情参考//jp-nsk.net/lcjtww/2312126/2432763/index.html
©1996 - 2020 INSPUR Co., Ltd.
服务器、存储、网络产品购买热线:
ERP、管理软件购买热线:
云服务产品销售热线:
凯发k8一触即发网络售后热线: