Intel CSME引擎安全漏洞风险通告
发布时间 2020-02-14漏洞编号和级别
CVE编号:CVE-2019-14598,危险级别:高危,CVSS分值:厂商自评:8.2,官方未评定
影响版本
Intel® CSME versions before 12.0.49 (IOT only: 12.0.56), 13.0.21, 14.0.11.
漏洞概述
Intel Converged Security and Management Engine(CSME,即融合安全和可管理性引擎)是推动 Intel 活动管理技术的芯片集子系统。CSME支持英特尔的主动管理系统硬件和固件技术,该技术用于消费或公司PC,物联网(IoT)设备和工作站中的远程带外管理。
CSME的子系统存在不正确的身份验证错误(CVE-2019-14598),该漏洞如遭利用,可导致本地威胁行动者发动提权、拒绝服务和信息泄露攻击。
Intel 还发布了针对Windows 版本的 RAID Web Console 2 (RWC2) 和 RAID Web Console 3 (RWC3) 的安全更新。
第一个漏洞 CVE-2020-0562 影响所有 RWC2 版本,CVSS 基本分为6.7,属于“中危”漏洞。本地经认证的用户可利用该缺陷提权,不过 Intel 公司将不会修复该问题,而是表示该产品将停产,建议用户更新至 RWC3版本。
第二个漏洞 CVE-2020-0564 会产生相同的潜在后果,它影响 7.010.009.000 版本之前的 RWC3 产品。
Intel Manycore Platform Software Stack (MPSS) 版本3.8.6 之前的版本已收到修复方案以解决 CVE-2020-0563。该漏洞为中危漏洞,CVSS 基本分是6.7。未经认证的用户能利用该漏洞通过因权限处理不正确而造成的本地权限而引发的提权。
Intel 公司还提到了另外一个中危漏洞 CVE-2020-0560,它影响 Intel Renesas Electronics USB 3.0 驱动,可导致在所有版本中的提权的后果。Intel 公司表示不会修复该漏洞,而是推荐用户卸载或停止使用该产品。
Intel 公司还修复了Intel SGX 中的一个低危漏洞 CVE-2020-0561,它是一个初始化不当问题,其 CVSS 基本分为2.5分,可导致认证用户通过本地访问权限提权。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00307.html。
参考链接
https://www.zdnet.com/article/intel-warns-of-critical-security-flaw-in-csme-engine/
京公网安备11010802024551号