所属分类 > 病毒与安全 > 漏洞与防护 > 安全公告:LEN-30553 Intel SGX 和处理器侧信道数据泄露漏洞

安全公告:LEN-30553 Intel SGX 和处理器侧信道数据泄露漏洞

. 2020-03-24 09:26:31 | 知识编号: 187807

故障现象:

Lenovo 安全公告:LEN-30553


潜在影响:信息泄露、权限提升


严重性


影响范围:全行业


CVE ID:CVE-2020-0551、CVE-2020-0561


摘要描述:


Intel 报告了某些 Intel 处理器中存在潜在安全漏洞,可能导致信息泄露。


CVE-2020-0551:某些使用推测执行的 Intel 处理器上存在加载值注入(LVI),可能允许经过认证的用户潜在地通过具有本地访问权限的侧信道造成信息泄露。


Intel 报告了某些 Intel 处理器和 Intel Software Guard Extensions(SGX)SDK 中存在以下潜在安全漏洞。这些漏洞影响已启用 SGX 的指纹读取器的一些 Lenovo 驱动程序。


CVE-2020-0551:某些使用推测执行的 Intel 处理器上存在加载值注入(LVI),可能允许经过认证的用户潜在地通过具有本地访问权限的侧信道造成信息泄露。


CVE-2020-0561:Intel 报告了 Intel Software Guard Extensions(SGX)SDK 中存在一个潜在安全漏洞,可能会导致完整性部分受损。


解决方案:

应采取哪些措施进行自我保护:


CVE-2020-0551:


SGX 私有内存区


Intel 建议采用以前针对 L1 Terminal Fault(LEN-24163)和微架构数据采样(MDS)(LEN-26696)的缓解措施来减少此漏洞的影响。Intel 已发布了 SGX 平台软件(PSW)和 SDK 更新来缓解 SGX 私有内存区的问题。Intel 建议将受影响驱动程序更新到以下“产品影响”部分中针对您的产品型号列出的最新版本。


以下网址提供了最新的 Windows SGX PSW 和 SDK:https://registrationcenter.intel.com/en/forms/?productid=2614


以下网址提供了最新的 Linux SGX PSW 和 SDK:https://01.org/intel-software-guard-extensions/downloads


操作系统(OS)和虚拟机管理器(VMM)


Intel 建议采用以前针对 Spectre(LEN-22133)、TSX 异步中止(TAA)(LEN-27714)、L1 Terminal Fault(LEN-24163)和 MDS(LEN-26696)的缓解措施来显著减少此漏洞的影响。


软件应用程序


Intel 建议采用以前针对微架构数据采样(MDS)(LEN-26696)的缓解措施来减少此漏洞的影响。请参阅 Intel 深入介绍:受管运行时推理执行侧信道缓解措施获取更多指导。


CVE-2020-0561:Intel 建议将受影响的驱动程序更新到以下“产品影响”部分中针对您的产品型号列出的最新版本。


产品影响:


请单击了解更多信息。


台式机 - 未受影响


台式一体机 - 未受影响


IdeaPad


网络交换机 - 未受影响


Storage - 未受影响


System x - Lenovo - 未受影响


System x(IBM)- 未受影响


ThinkAgile - 未受影响


ThinkPad


ThinkServer - 未受影响


ThinkStation - 未受影响


ThinkSystem - 未受影响


参考资料:


https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00334.html


https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00336.html


https://software.intel.com/security-software-guidance/insights/deep-dive-managed-runtime-speculative-execution-side-channel-mitigations


https://support.lenovo.com/us/en/product_security/LEN-26696


https://support.lenovo.com/us/en/product_security/LEN-22133


https://support.lenovo.com/us/en/product_security/LEN-27714


https://support.lenovo.com/us/en/product_security/LEN-24163


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。