英特尔CSME漏洞安全通告
发布时间 2018-09-12漏洞编号和级别
CVE编号:CVE-2018-3655,危险级别:高危,CVSS分值:厂商自评7.3,官方未评定
影响版本
英特尔服务器平台服务固件版本:4.0(仅限Purley和Bakerville)。
英特尔TXE版本:3.0到3.1.50。
漏洞概述
漏洞存在于11.21.55版本之前的英特尔CSME中的子系统,4.0版本之前的英特尔服务器平台服务和3.1.55版本之前的英特尔可信执行引擎固件中,可能允许未经身份验证的用户通过物理访问来修改或泄漏信息。
具有物理访问权限的未经身份验证的用户可以:绕过英特尔CSME 反重放保护,可能允许暴力攻击来获取存储在英特尔CSME内的信息。获得未经授权访问英特尔MEBX的密码。篡改英特尔CSME文件系统目录的完整性或服务器平台服务和可信执行环境(英特尔TXT)数据文件。
漏洞验证
暂无POC\EXP
修复建议
请英特尔CSME,英特尔服务器平台服务和英特尔可信执行引擎(TXE)的用户更新最新补丁。
参考链接
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html
京公网安备11010802024551号