切片 切片 切片 切片 切片 切片 切片 切片 切片 切片 切片 编组 3 切片 切片 路径 2 download 工具 配置对比 手册 切片 切片
联想服务Think服务大客户服务官方微信联想官网
联想知识库官网Logo
【安全公告】LEN-150020 部分 ThinkSystem SR670V2 服务器未能实施 Intel SPS 停产
适用机型:服务器
知识编号:4202792024-03-04
催更新

故障现象

Lenovo 安全公告:LEN-150020

潜在影响:篡改

严重性

影响范围:Lenovo 特定产品

CVE IDCVE-2024-23591

摘要描述:

客户于 2023 年 12 月向 Lenovo 报告了部分 ThinkSystem SR670V2 主板上未能正确实施 Intel Server Platform Services(SPS)停产(EOM)。经调查确定,生产日期大约为 2021 年 6 月至 2023 年 7 月的 ThinkSystem SR670V2 服务器停留在生产模式。

处于生产模式的 ThinkSystem SR670V2 系统可能允许对主机拥有逻辑访问权限或对服务器内部构件拥有物理访问权限的攻击者修改或禁用 Intel Boot Guard 固件完整性、SPS 安全性和其他 SPS 配置设置。

ThinkSystem V2(及更高版本)服务器(包括 ThinkSystem SR670V2)包含符合 NIST SP 800-193 标准的配套 Platform Firmware Resiliency(PFR)安全子系统,该子系统可通过确保固件完整性并将大多数 SPS 设置维持在预期状态来显著缓解此问题(即使在已经发生篡改的情况下)。

提供的 UEFI 固件更新可重新维持预期的 SPS 设置并在主机重新引导时自动实施 EOM(如果适用)。此外,主板制造工艺也进行了改进。

 

解决方案

将系统 UEFI 固件更新到“产品影响”部分中针对您的产品型号列出的版本 u8e126i-2.20(或更高版本)。

客户可以选择使用适用于 Windows、Linux 和 UEFI Shell 的 Intel spsInfo 实用程序来识别受影响的 ThinkSystem SR670V2 服务器,并在安装 UEFI 固件更新后确认 SPS 设置正确。

从以下网址下载 spsInfo:https://download.lenovo.com/km/media/psecurity/spsInfo_4.2.97.709.zip
[SHA256: a400de7ccd1d14dc33d04475720e3cbf3e64ab0977de2706b17a16dcab27f7c9]

spsInfo 将输出配置的 SPS 设置。在未受影响的和更新后的 ThinkSystem SR670V2 服务器上显示的关键预期设置的子集如下:

 FW Status Register 1: 0x010F0245

  Manufacturing Mode (4):       Disabled (0)

  FD0V Status (24):             Status Completed successfully (1)

 FW Status Register 5: 0x00001F03

  Boot Guard ACM Active (0):    Boot Guard ACM is active (1)

  Boot Guard ACM DONE STS (8):  Boot Guard ACM is done (1)

 FW Status Register 6: 0xC4400BC9

  Measured Boot Policy (8):     Enable (1)

  Verified Boot Policy (9):     Enable (1)

  Config lock (30):             Yes (1)

 

“Manufacturing Mode (4)”参数的值为“Disabled (0)”时,表示已成功实施 EOM。

 

产品影响:

要下载以下专为您的产品指定的版本,请执行以下步骤:

导航到您的产品的 Drivers & Software(驱动程序和软件)支持站点:

  1. 按名称或机器类型搜索产品。
  2. 单击左侧菜单面板上的 Drivers & Software(驱动程序和软件)。
  3. 单击 Manual Update(手动更新)按组件类型浏览。
  4. 将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。

Lenovo 还提供了更新管理辅助工具,可替代上述手动步骤。如需其他帮助,请参考以下资源:

PC 产品和软件:https://support.lenovo.com/us/en/solutions/ht504759

服务器和企业软件:https://support.lenovo.com/us/en/solutions/lnvo-lxcaupdhttps://datacentersupport.lenovo.com/us/en/documents/lnvo-center

 

单击下方链接查看受影响的产品:

ThinkSystem

 

致谢:

Lenovo 谨对确定此问题具体情况的 Supply Chain Security Solution(Eclypsium)表示感谢。

 

修订历史:

修订版本

日期

描述

2

2024-02-14

更新了“产品影响”

1

2024-02-13

初始版本

要获得所有 Lenovo 产品安全公告的完整列表,请单击此处

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。

0
知识有用,就点一下~
0
收藏 :
分享 :
版权所有:1998-2024 联想集团 | 法律公告 | 隐私保护 | 服务声明 | 工具使用许可协议 京ICP备11035381
友情链接
| 使用帮助 | 知识反馈