Intel CSME/Intel(R) Server Platform Services任意代码执行漏洞

CVE编号

CVE-2018-12208

利用情况

暂无

补丁情况

N/A

披露时间

2019-03-15

漏洞描述

版本11.8.60、11.11.60、11.22.60或12.0.20之前的Intel（R）CSME的HECI子系统中的缓冲区溢出以及3.1.60或4.0.10之前的Intel（R）TXE版本或Intel（R）服务器版本5.00.04.012之前的平台服务可能允许未经身份验证的用户潜在地通过物理访问执行任意代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.intel.com/content/www/us/en/security-center/advisory/INTEL-SA-00185.html

参考链接
https://security.netapp.com/advisory/ntap-20190318-0001/
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-...
https://www.intel.com/content/www/us/en/security-center/advisory/INTEL-SA-00185.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	intel	converged_security_management_engine_firmware	*	From (including) 11.0	Up to (excluding) 11.8.60
	运行在以下环境
	系统	intel	converged_security_management_engine_firmware	*	From (including) 11.10	Up to (excluding) 11.11.60
	运行在以下环境
	系统	intel	converged_security_management_engine_firmware	*	From (including) 11.20	Up to (excluding) 11.22.60
	运行在以下环境
	系统	intel	converged_security_management_engine_firmware	*	From (including) 12.0.0	Up to (excluding) 12.0.20
	运行在以下环境
	系统	intel	server_platform_services_firmware	*		Up to (excluding) 5.00.04.012
	运行在以下环境
	系统	intel	trusted_execution_engine_firmware	*	From (including) 3.0	Up to (excluding) 3.1.60
	运行在以下环境
	系统	intel	trusted_execution_engine_firmware	*	From (including) 4.0	Up to (excluding) 4.0.10
查看完整数据

CVSS3评分 7.6

• 攻击路径 物理
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当