故障现象
Lenovo 安全公告:LEN-118320
潜在影响:拒绝服务
严重性:高
影响范围:全行业
CVE ID:CVE-2023-1017
摘要描述:
TPM2.0 的模块库中存在越界写入漏洞。该漏洞可能会被攻击者利用,从而导致 Nuvoton 可信平台模块(TPM)NPCT65x 拒绝服务。此类攻击本身无法写入或损坏 TPM,但 TPM 会出于自我保护和内容保护的目的而进入可恢复的保护模式,这期间用户将无法访问 TPM。
以下产品表格中列出的包含 Nuvoton NPCT65X 的 Lenovo 服务器如果(仅)配置为 TPM 2.0 模式,则易受到 CVE-2023-1017 漏洞的影响。此类攻击可以触发 TPM 的受保护状态,通过关闭再打开交流电源(硬重置)可从该状态恢复正常。
处于 TPM 1.2 模式或配备 Nuvoton NPCT7XX TPM 的产品不易受到 CVE-2023-1017 漏洞的影响。以下产品影响表格中列出的 Lenovo 服务器在出厂时大多默认配置为 TPM 1.2 模式,需要客户手动切换到 TPM 2.0 模式。请参阅下文,了解有关默认 TPM 模式版本的更多信息。
Lenovo 服务器不易受到 CVE-2023-1018 漏洞的影响。
为解决此问题,Lenovo 即将与 Nuvoton 合作推出 TPM 固件更新。可采取的临时缓解措施包括遵循常规安全最佳实践,例如仅允许受信任的用户对操作系统进行特权访问以及仅运行受信任的代码。
有关详细信息,请参阅 Nuvoton 的安全公告:https://www.nuvoton.com/support/security/security-advisories/sa-003/
受影响的产品:(仅)处于 2.0 模式,运行固件 1.3.0.1、1.3.1.0 和 1.3.2.8 的 NPCT65x TPM
注:将固件升级到以下产品表格中列出的版本可缓解 CVE-2023-1017 漏洞的影响,但这项修复操作不会通过 TCG、通用标准(CC)或 FIPS 140 认证。Nuvoton 建议 TPM 2.0 用户及时应用可用的 NPCT65x TPM 2.0 固件更新。
TPM 认可密钥包含 TPM 芯片和基础 TPM 固件版本信息,可用于识别受影响的系统。
对于 Windows,请使用 Get-TpmEndorsementKeyInfo powershell 命令:
Get -TpmEndorsementKeyInfo
ManufacturerCertificates : {[Subject]
TPMManufacturer=id:4E544300 + TPMModel=NPCT6xx + TPMVersion=id:13
对于 Linux 系统,tpm2-tools 可使用 tpm2_getekcertificate 命令从主机系统检索 TPM 认可密钥证书。然后,可以使用 OpenSSL 对认可密钥证书进行解码:
tpm2_getekcertificate -o tpmek1.cer
openssl x509 -in tpmek1.cer-text -noout
X509v3 Subject Alternative Name: critical
DirName:/2.23.133.2.1=id:4E544300/2.23.133.2.2=NPCT6xx/2.23.133.2.3=id:13
NPCT6xx 表示使用的是 NPCT65x TPM 芯片。id:13 表示 TPM 处于 TPM 2.0 模式,运行固件 v1.3.x,并且可能会受影响。id:0581 表示 TPM 处于 TPM 1.2 模式,运行固件 v5.81.x,并且在当前配置下不受影响。
要查看当前 TPM 模式和具体的固件版本,可以在 UEFI Setup 中单击“系统设置 -> 安全 -> 可信平台模块 -> TPM <模式> -> TPM 固件版本”。<模式> 指的是 1.2 或 2.0。
解决方案
针对客户的缓解策略(应采取哪些措施进行自我保护):
Nuvoton 建议将固件更新到以下“产品影响”部分中针对您的产品型号列出的最新版本(或更高版本)。
部分系统可能需要执行多个步骤来更新 TPM 固件,例如先安装 UEFI 固件更新,然后使用 UEFI Setup 来更新 TPM 固件。以下“产品影响”部分和更新发行说明中提供了更多指导。
如果 Nuvoton NPCT65x TPM 在遭到与该漏洞相关的攻击后进入保护模式,可通过完整的关闭再打开交流电源(硬重置)操作来恢复其功能。
ThinkAgile 客户:
对于 Nutanix 软件,请参阅 https://www.nutanix.com/trust/security-advisories,了解风险暴露、解决方案和缓解措施。
对于 VMware 软件和设备,请参阅 https://www.vmware.com/security/advisories.html,了解风险暴露、解决方案和缓解措施。
产品影响:
要下载以下专为您的产品指定的版本,请执行以下步骤:
导航到您的产品的 Drivers & Software(驱动程序和软件)支持站点:
- Lenovo 产品(全球销售,中国除外):https://support.lenovo.com/
- Lenovo 产品(中国销售):https://newsupport.lenovo.com.cn/
- IBM 品牌的早期 System x 产品:https://www.ibm.com/support/fixcentral/
- 按名称或机器类型搜索产品。
- 单击左侧菜单面板上的 Drivers & Software(驱动程序和软件)。
- 单击 Manual Update(手动更新)按组件类型浏览。
- 将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。
Lenovo 还提供了更新管理辅助工具,可替代上述手动步骤。如需其他帮助,请参考以下资源:
PC 产品和软件:https://support.lenovo.com/us/en/solutions/ht504759
服务器和企业软件:https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd 和 https://datacentersupport.lenovo.com/us/en/documents/lnvo-center
单击下方链接查看受影响的产品:
参考资料:
https://www.nuvoton.com/support/security/security-advisories/sa-003/
https://support.lenovo.com/us/en/product_security/LEN-118374
https://www.nutanix.com/trust/security-advisories
https://www.vmware.com/security/advisories.html
https://kb.cert.org/vuls/id/782720
修订历史:
修订版本 | 日期 | 描述 |
4 | 2023-03-09 | 更新了“产品影响” |
3 | 2023-03-07 | 修复了“参考资料”部分中的 Nuvoton URL |
2 | 2023-03-03 | 更新了“产品影响” |
1 | 2023-02-28 | 初始版本 |
要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。
最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。