【安全公告】LEN-186850 多供应商 BIOS 安全漏洞（2025 年 2 月）

适用机型：台式 / ThinkCentre / 笔记本 / ThinkPad / ThinkStation / 服务器

知识编号：4265232025-02-24

催更新

故障现象

Lenovo 安全公告：LEN-186850

潜在影响：执行任意代码、拒绝服务、权限提升、信息泄露

严重性：高

影响范围：全行业

CVE ID：CVE-2023-20507、CVE-2023-20515、CVE-2023-20581、CVE-2023-20582、CVE-2023-31331、CVE-2023-31342、CVE-2023-31343、CVE-2023-31345、CVE-2023-31352、CVE-2023-34440、CVE-2023-43758、CVE-2023-45236、CVE-2023-45237、CVE-2023-48267、CVE-2023-48366、CVE-2023-49603、CVE-2023-49615、CVE-2023-49618、CVE-2024-0179、CVE-2024-1298、CVE-2024-29214、CVE-2024-21859、CVE-2024-21924、CVE-2024-21925、CVE-2024-24582、CVE-2024-25571、CVE-2024-28047、CVE-2024-28127、CVE-2024-31068、CVE-2024-31155、CVE-2024-31157、CVE-2024-33659、CVE-2024-36262、CVE-2024-36293、CVE-2024-37020、CVE-2024-39279、CVE-2024-39355、CVE-2024-49199、CVE-2024-56161

摘要描述：

AMD 报告了 AMD Secure Processor（ASP）、AMD Secure Encrypted Virtualization（SEV）、AMD Secure Encrypted Virtualization–Secure Nested Paging（SEV-SNP）和其他平台组件中存在潜在漏洞。AMD-SB-3009：CVE-2023-20581、CVE-2023-20582、CVE-2023-31342、CVE-2023-31343、CVE-2023-31345、CVE-2023-31352

AMD 报告称，Google 的研究人员已向 AMD 提供有关潜在漏洞的信息。如果该漏洞被成功利用，机密访客可能会失去基于 SEV 的保护。AMD-SB-3019：CVE-2024-56161

AMD 报告了 AMD Secure Processor（ASP）和其他平台组件中存在潜在漏洞。AMD-SB-4008：CVE-2023-31342、CVE-2023-31343、CVE-2023-31345、CVE-2023-20515、CVE-2023-31331、CVE-2023-20507

AMD 报告了 BIOS 中存在漏洞，该漏洞可能导致执行任意代码。AMD-SB-7027：CVE-2024-0179、CVE-2024-21925

AMD 报告了 BIOS 中的 SMM 标注漏洞，该漏洞可能允许攻击者在系统管理模式下执行任意代码。AMD-SB-7028：CVE-2024-21924

AMI 报告了 BIOS 中存在潜在缓冲区溢出漏洞，该漏洞可能允许本地攻击者在 SMM 级别执行任意代码。CVE-2024-33659

Insyde 报告了 BIOS 中存在潜在漏洞，该漏洞可能导致信息泄露。INSYDE-SA-2024014：CVE-2024-49199

Intel 报告了部分 Intel Server Platform Services（Intel SPS）固件中存在潜在安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01120：CVE-2024-25571

Intel 报告了部分 Intel 处理器的 UEFI 固件中存在潜在安全漏洞，这些漏洞可能导致权限提升、拒绝服务或信息泄露。INTEL-SA-01139：CVE-2023-43758、CVE-2023-34440、CVE-2024-24582、CVE-2024-29214、CVE-2024-28127、CVE-2024-39279、CVE-2024-31157、CVE-2024-28047

Intel 报告了部分 Intel 处理器中存在潜在安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01166：CVE-2024-31068

Intel 报告了部分 Intel 第 4 代或第 5 代 Xeon 处理器的 Intel Data Streaming Accelerator（Intel DSA）中存在潜在的安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01194：CVE-2024-37020

Intel 报告了部分 Intel 处理器的 UEFI 固件中存在潜在安全漏洞，这些漏洞可能导致信息泄露或权限提升。INTEL-SA-01198：CVE-2024-21859、CVE-2024-31155

Intel 报告了部分 Intel System Security Report and System Resource Defense（PPAM）固件中存在潜在安全漏洞，这些漏洞可能导致权限提升或信息泄露。INTEL-SA-01203：CVE-2023-49615、CVE-2023-49603、CVE-2023-48366、CVE-2024-36262、CVE-2023-48267、CVE-2023-49618

Intel 报告了部分 Intel Software Guard Extensions（Intel SGX）平台中存在潜在安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01213：CVE-2024-36293

Intel 报告了部分第 13 代和第 14 代 Intel Core 处理器中存在潜在安全漏洞，该漏洞可能导致拒绝服务。INTEL-SA-01228：CVE-2024-39355

Tianocore 报告了 BIOS 中存在潜在的弱伪随机数生成器漏洞，这些漏洞可能允许本地攻击者在使用 IPv6 网络引导选项（如 PXE 引导）的情况下未经授权访问并泄露敏感信息。这些漏洞不会影响标准的非网络引导选项或操作系统网络功能。CVE-2023-45236、CVE-2023-45237

Tianocore 报告称，当激活 S3 睡眠时，BIOS 中存在潜在的整数溢出漏洞，该漏洞可能允许本地攻击者引发除以零，从而导致拒绝服务。CVE-2024-1298

解决方案

将系统固件升级到“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。

产品影响：

要下载以下专为您的产品指定的版本，请执行以下步骤：

导航到您的产品的 Drivers & Software（驱动程序和软件）支持站点：

Lenovo 产品（全球销售，中国除外）：https://support.lenovo.com/
Lenovo 产品（中国销售）：https://newsupport.lenovo.com.cn/
IBM 品牌的早期 System x 产品：https://www.ibm.com/support/fixcentral/

按名称或机器类型搜索产品。
单击左侧菜单面板上的 Drivers & Software（驱动程序和软件）。
单击 Manual Update（手动更新）按组件类型浏览。
将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。

Lenovo 还提供了更新管理辅助工具，可替代上述手动步骤。如需其他帮助，请参考以下资源：

PC 产品和软件：https://support.lenovo.com/us/en/solutions/ht504759

服务器和企业软件：https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd 和 https://datacentersupport.lenovo.com/us/en/documents/lnvo-center

单击下方链接查看受影响的产品：

参考资料：

修订历史：

修订版本	日期	描述
1	2025-02-11	初始版本

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。

知识有用，就点一下~

收藏 :