故障现象

Lenovo 安全公告：LEN-118374

潜在影响：信息泄露、权限提升

严重性：高

影响范围：全行业

CVE ID：CVE-2023-1017、CVE-2023-1018

摘要描述：

在可信计算组织发布的 TPM 2.0 参考实现代码中发现了以下漏洞，这些漏洞可能会导致信息泄露或权限提升。

CVE-2023-1017：在可信计算组织发布的 TPM 2.0 参考实现代码中发现了越界写入漏洞。

CVE-2023-1018：在可信计算组织发布的 TPM 2.0 参考实现代码中发现了越界读取漏洞。

注：Nuvoton 报告称，CVE-2023-1017 漏洞可能会被攻击者利用，从而导致 Nuvoton NPCT65x TPM 拒绝服务。请参阅 LEN-118320，了解 Nuvoton SA-003 对 Lenovo 产品的影响。

解决方案

针对客户的缓解策略（应采取哪些措施进行自我保护）：

ThinkAgile 客户：

           对于 Nutanix 软件，请参阅 https://www.nutanix.com/trust/security-advisories，了解风险暴露、解决方案和缓解措施。

           对于 VMware 软件和设备，请参阅 https://www.vmware.com/security/advisories.html，了解风险暴露、解决方案和缓解措施。

对于受 Nuvoton-SA-003 影响的产品，请参阅 LEN-118320，了解是否有任何必需的更新。

Lenovo 未发现任何其他受影响的产品。

参考资料：

https://kb.cert.org/vuls/id/782720

https://support.lenovo.com/product_security/LEN-118320

https://www.nuvoton.com/support/security/security-advisories/sa-003/

https://www.nutanix.com/trust/security-advisories

https://www.vmware.com/security/advisories.html

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。