服务器、存储产品购买热线:400-860-6708 ERP、管理软件购买热线:400-018-7700云服务产品销售热线:400-607-6657
安全预警-intel处理器TAA等安全漏洞
预警编号:INSPUR-SA-202003-001
初始发布时间:2020-03-09 08:58:03
更新发布时间:2020-04-03 16:54:45
漏洞概述:

2019年11月12号,Intel公开了多个安全漏洞,可能导致特权提升,服务拒绝或信息泄露。英特尔已发布固件和软件更新,以缓解这些潜在漏洞。漏洞详细信息如下:
Intel-SA-00240: CVE-2019-0151
Intel(R) Core Processors 和 Intel(R) Xeon(R) Processors由于Intel(R) TXT对内存保护不足,可能会使已授权用户通过本地访问提升权限。
Intel-SA-00241: CVE-2019-11090(fTPM漏洞), CVE-2019-11109
Intel(R)SPS子系统安全问题(Improper directory permissions、Cryptographic timing conditions)
Intel-SA-00270: CVE-2019-11135
使用推测执行的某些CPU上的TSX异步中止条件(TAA)可能允许经过身份验证的用户通过边信道攻击获取敏感信息。
Intel-SA-00271: CVE-2019-11139
某些Intel(R) Xeon(R) 可扩展处理器在Voltage Setting Modulation(电压设置调制)中不当的条件检测,可能会使已授权用户通过本地访问造成拒绝服务。
Intel-SA-00280: CVE-2019-11136, CVE-2019-11137
某些Intel(R) Xeon(R) 可扩展处理器由于输入验证不足/访问控制不足,可能会使已授权用户通过本地访问造成特权升级,拒绝服务和/或信息泄露。

已完成修复的产品版本:
Product BIOS Update version
NF5180M5 NF5180M5_BIOS_4.1.8_Standard_20200117
NS5162M5 NS5162M5_BIOS_4.1.9_Standard_20191214
NF5266M5 NF5266M5_BIOS_3.1.4_Standard_20191222
NF5270M5 NF5270M5_BIOS_4.1.3_standard_20191122
NF5468M5 NF5468M5_BIOS_4.1.13_Standard_20200121
NF5280M5 NF5280M5_BIOS_4.1.13_Standard_20200116
SN5161M5 SN5161M5_BIOS_4.1.04_Standard_20200228
NF5288M5 NF5288M5_BIOS_4.1.06_Standard_20191127
NF5466M5 NF5466M5_BIOS_4.1.13_Standard_20200116
NF8380M5 NF8380M5_BIOS_4.1.4_Standard_20200117
NF5488M5
NF5888M5
NF5488M5_BIOS_4.1. 0_Standard_20200103
NX5460M5 NX5460M5_BIOS_4.1.05_Standard_20200218
NF8480M5 NF8480M5_BIOS_4.1.11_Standard_20191226
TS860M5 TS860M5_BIOS_4.1.11_Standard_20200303
NS5488M5
NS5484M5
NS5482M5
Sentosa_BIOS_4.1.08_standard_20191213
NF8260M5 NF8260M5_BIOS_4.1.12_Standard_20200115

影响后果:

攻击者成功利用这些漏洞,可能导致特权提升,服务拒绝或信息泄露

漏洞得分:

Intel-SA-00240: CVE-2019-0151
CVSS Base Score: 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVSS Temporal Score:6.0 (E:P/RL:O/RC:C)
Intel-SA-00241: CVE-2019-11090
CVSS Base Score: 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
CVSS Temporal Score:5.3 (E:P/RL:O/RC:C)
Intel-SA-00270: CVE-2019-11135
CVSS Base Score: 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)
CVSS Temporal Score:5.9 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11139
CVSS Base Score: 6.0(AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
CVSS Temporal Score:5.4 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11136
CVSS Base Score: 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVSS Temporal Score:6.0 (E:P/RL:O/RC:C)
Intel-SA-00271: CVE-2019-11137
CVSS Base Score: 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
CVSS Temporal Score:7.4 (E:P/RL:O/RC:C)

技术细节:

版本获取链接:

下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
获取链接:http://www.inspur.com/eportal/ui?pageId=2317460&type=0

规避措施:

漏洞来源:

intel官方披露

更新记录:

20200403-V1.2-Updated 更新修复版本信息

20200327-V1.1-Updated 更新修复版本信息

20200309-V1.0-Initial Release

FAQs:

浪潮安全应急响应对外服务:

浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品和解决方案安全问题,请反馈至浪潮PSIRT邮箱sec@inspur.com,详情参考:http://www.inspur.com/lcjtww/2312126/2432763/index.html

关于浪潮

集团简介 文化理念 荣誉资质 董事长致辞 加入我们 联系我们 关注我们

新闻与活动

新闻公告 市场活动

如何购买

需求工单 售前咨询 查找经销商

探索浪潮

通用服务器 存储 人工智能 爱城市网 浪潮云 浪潮云ERP

支持与服务

支持下载 视频中心 服务进度查询 安全通告

快速链接

合作伙伴生态 电子采购平台 投行项目 投资者关系 道德遵从

在社交媒体上关注我们

拨打咨询电话