芯片制造商英特尔(Intel)报告称,一个内存bug影响了“数百款”产品中使用的微处理器固件。根据该公司周二发布的一份建议,该漏洞是基于固件的,通用漏洞评分系统(CVSS)评分为7分,被评为“高风险”。
该漏洞存在于某些Intel Optane SSD和Intel Optane Data Center (DC)产品中,其影响将允许特权升级、拒绝服务(DoS)或信息泄露。
英特尔报告称:“某些英特尔Optane SSD和英特尔Optane SSD数据中心产品的潜在安全漏洞可能允许特权升级、拒绝服务或信息披露。”
英特尔已针对一年前首次出现的Optane SSD缺陷发布了固件更新和规范指南。
SSD (Solid-state drives)硬盘主要用于数据存储。optane内存是一个系统加速解决方案,用于增加对最终用户请求的响应时间,optane内存安装在处理器和较慢的存储设备(SATA HDD, SSHD, SSD)之间。optane内存存储靠近处理器的常用数据和程序。
Intel Optane Data Center SSD用于消除数据中心存储瓶颈,为更大、更实惠的数据集提供存储,从而优化整体性能。
漏洞详情
CVE-2021-33078
根据英特尔的说法,它的CVSS基础分数为7.9,并被描述为英特尔Optane SSD和英特尔Optane SSD DC产品中的一个线程内的竞态条件。获得特权用户访问权的攻击者可以通过本地访问执行拒绝服务攻击。
当两个线程试图同时访问一个共享变量时,就会出现竞争条件。
CVE-2021-33077
该漏洞描述为Intel SSD和Intel SSD DC产品固件中控制流管理不足。未经身份验证的用户可能利用此漏洞通过物理访问执行权限升级。
它的CVSS基础分数是7.3
CVE-2021-33080
攻击者可以通过物理访问Intel SSD DC、Intel Optane SSD、Intel Optane SSD DC产品,进行信息泄露或权限升级。该漏洞是由于固件中调试信息不明确,导致敏感信息暴露。
它的CVSS基础分数为 7.3
英特尔还披露了另外五个被评为中级的漏洞。清单如下:
CVE-2021-33074
CVE-2021-33069
CVE-2021-33075
CVE-2021-33083
CVE-2021-33082
受影响的产品
英特尔已发布受这些漏洞影响的产品列表。
涉及的产品包括Intel Optane SSD DC D4800X和P4800X/P4801X系列的所有版本,包括以前的E2010600版本。Intel Optane SSD P5800X系列在L3010200版本之前以及905P/900P系列所有版本均受影响。
受影响的产品还包括适用于所有版本的英特尔傲腾内存H10和带有固态存储系列的 H20。
建议和更新
可在此处下载Intel发布的更新:
Intel发布的公告还包括CVE-2021-33082的可能解决方法。
文章来源:
