故障现象

Lenovo 安全公告：LEN-150692

潜在影响：执行任意代码、拒绝服务、权限提升、信息披露

严重性：高

影响范围：全行业

CVE ID：CVE-2021-38575、CVE-2021-38576、CVE-2021-38578、CVE-2021-42299、CVE-2023-20576、CVE-2023-20577、CVE-2023-20579、CVE-2023-20587、CVE-2023-25174、CVE-2023-28388、CVE-2023-28739、CVE-2023-29153、CVE-2023-31346、CVE-2023-31347、CVE-2023-34469、CVE-2023-34470、CVE-2023-35841、CVE-2023-45229、CVE-2023-45230、CVE-2023-45231、CVE-2023-45232、CVE-2023-45233、CVE-2023-45234、CVE-2023-45235

摘要描述：

AMD 报告了 AMD 处理器中存在漏洞，这些漏洞可能导致信息披露和允许执行任意代码。AMD-SB-7009：CVE-2023-20576、CVE-2023-20577、CVE-2023-20579、CVE-2023-20587

AMD 报告了 AMD SEV-SNP 处理器固件中存在两个潜在漏洞，这些漏洞可能导致信息披露。AMD-SB-3007：CVE-2023-31346、CVE-2023-31347

AMI 已发布 AMI BIOS 的安全增强功能。未提供 CVE。

AMI 报告了 BIOS 中存在漏洞，该漏洞可能允许攻击者通过本地网络使用不当的访问控制。AMI-SA-2023007：CVE-2023-34470

AMI 报告了 BIOS 中存在漏洞，该漏洞可能允许攻击者通过物理网络使用不当的访问控制。AMI-SA-2023007：CVE-2023-34469

Intel 报告了部分 Intel Chipset Driver Software 中存在潜在安全漏洞，这些漏洞可能导致权限提升。INTEL-SA-00928：CVE-2023-25174、CVE-2023-28739

Intel 报告了部分 Intel Server Platform Services（SPS）固件中存在潜在安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01003：CVE-2023-29153

Intel 报告了部分 Intel Chipset Device Software 中存在潜在安全漏洞，该漏洞可能导致权限提升。INTEL-SA-00870：CVE-2023-28388

Phoenix Technologies 报告称，其 WinFlash 驱动程序中存在漏洞，该漏洞可能导致权限提升。Phoenix 安全 ID 200-002：CVE-2023-35841

Tianocore 报告了 EDK II BIOS 中存在漏洞。在使用 IPv6 网络引导选项（例如 PXE 引导）的情况下，这些漏洞可能允许远程执行代码或导致拒绝服务。这些漏洞不会影响标准的非网络引导选项或操作系统网络功能。CVE-2023-45229、CVE-2023-45230、CVE-2023-45231、CVE-2023-45232、CVE-2023-45233、CVE-2023-45234、CVE-2023-45235

Tianocore 报告了 EDK II BIOS 中存在漏洞，该漏洞可使平台授权值留空，可能导致拒绝服务。CVE-2021-42299、CVE-2021-38576

Tianocore 报告了 EDK II BIOS 中存在缓冲区溢出漏洞，这些漏洞可能允许远程攻击者执行任意代码。CVE-2021-38575

Tianocore 报告了 EDK II BIOS 中存在整数溢出漏洞，该漏洞可能允许具有本地访问权限的特权攻击者执行任意代码。CVE-2021-38578

解决方案

将系统固件升级到“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。

针对 CVE-2023-45229、CVE-2023-45230、CVE-2023-45231、CVE-2023-45232、CVE-2023-45233、CVE-2023-45234 和 CVE-2023-45235 的额外缓解措施包括：

应仅在正确分段和隔离的受信任网络上使用网络引导选项（例如 PXE 引导）。

产品影响：

要下载以下专为您的产品指定的版本，请执行以下步骤：

导航到您的产品的 Drivers & Software（驱动程序和软件）支持站点：