支援

Intel® 管理引擎重要的韌體更新 (Intel-SA-00086)


最近查看日期: 31-Jan-2018
文章 ID: 000025619

Intel® 管理引擎(Intel® ME 6.x/7.x/8.x/9.x/10.x/11.x),Intel® 受信任的執行引擎 (Intel® TXE 3.0),以及 Intel® 伺服器平台服務 (Intel® SPS 4.0) 弱點 (Intel-SA-00086)

請注意本文說明中的安全弱點的相關問題Intel® 管理引擎 韌體。此文件,並不包含處理器側通道弱點 (稱為問題時不致遺失/Spectre) 的相關資訊。如果您要尋找的問題時不致遺失/Spectre 問題的相關資訊,請前往側通道分析數據和 Intel® 產品

因外部研究人員識別的問題,Intel 已進行下列深入的全方位安全性檢閱其目標為提升韌體恢復能力:

  • Intel® 管理引擎(Intel® ME)
  • Intel® 受信任的執行引擎
  • Intel® 伺服器作業平台服務 (SPS)

Intel 已經找出安全性漏洞,可能會影響特定的電腦、 伺服器與物聯網平台。

使用 Intel ME 韌體版本 6.x-11.x 的保護,使用 SPS 韌體版本 4.0 的伺服器系統,而且使用 TXE 3.0 版的系統會受到影響。您可能會在特定的處理器上找到這些韌體版本:

  • 第 1 代、 第 2、 第 3 代、 第 4、 第 5,第 6、 7 日與第 8 代 Intel® Core™ 處理器系列產品
  • Intel® Xeon® 處理器 E3-1200 v5 與第 6 版產品
  • Intel® Xeon® 處理器的可擴充產品
  • Intel® Xeon® 處理器 W 系列產品
  • Intel Atom® C3000 處理器系列產品
  • Apollo Lake Intel Atom® 處理器 E3900 系列
  • Apollo Lake Intel® Pentium® 處理器
  • Intel® Pentium® 處理器 G 系列
  • Intel® Celeron® G、 N 與 J 系列處理器

若要判斷的識別的弱點是否影響您的系統,下載並執行 「 Intel-SA-00086 偵測工具,使用下方連結。

常見問答集 」 一節

可用的資源

Microsoft 與 Linux * 使用者的資源

請注意INTEL-SA-00086 偵測工具 1.0.0.146 也沒有核 CVE-2008-2017年-5711 和 CVE-2008-2017年-5712 先前的版本。這些 Cve 只會影響系統的 Intel® 主動管理技術 (Intel® AMT) 版本 8.x 10.x。與 Intel 主動管理技術 8.x-10.x 系統的使用者,也不安裝版本 1.0.0.146,我們建議更新的版本。安裝這個版本能協助確認其系統對於 INTEL-SA-00086 安全性諮詢的狀態。您可以檢查的新版 「 INTEL-SA-00086 偵測工具,藉由執行工具,並尋找 「 輸出 」 視窗中的版本資訊。

從系統/主機板製造廠商的資源

請注意若有的話,將會提供連結以獲取其它系統/主機板製造廠商。如果未列出您的製造商,請聯絡他們提供必要的軟體更新的資訊。


常見問答的集:

問: 「 Intel-SA-00086 偵測工具報告我的系統,是容易受到攻擊。我該怎麼辦?
答:
Intel 在此提供系統與主機板製造商所需的韌體和軟體更新來解決發現的安全諮詢 Intel-SA-00086 弱點。

適用於一般使用者提供更新,請聯絡您的系統或主機板製造商,他們計劃有關。

某些製造商所提供 Intel 的直接連結為其客戶,以取得其他資訊與可用的軟體更新 (請參閱下面的清單)。

問: 我需要與我的系統或主機板製造商聯絡為何?為何無法 Intel 提供的所需的更新我的系統?
答:
Intel 將無法提供的通用的更新,因為管理系統與主機板製造商所執行引擎韌體自訂內容。

問: 我的系統報告為可能具有弱點的 「 Intel-SA-00086 偵測工具。我該怎麼辦?
答:
可能具有弱點的狀態,通常會看到下列驅動程式的其中一項不安裝時:

  • Intel® 管理引擎 Interface (Intel® MEI) 驅動程式
  • Intel® 受信任的執行引擎介面 (Intel® TXEI) 驅動程式
請聯絡您的系統或主機板製造商,以取得適用於您系統的正確驅動程式。

問: 我的系統或主機板製造廠商,不會顯示在您的清單。我該怎麼辦?
答:
下列清單顯示的連結,從系統或主機板製造商已將 Intel 提供的資訊。如果您的製造商就不會顯示,請與他們聯絡使用其標準支援機制 (網站、 電話、 電子郵件,等等) 以尋求協助。

問: 攻擊者需要哪些類型的存取辨識的弱點的入侵?
答:
設備製造商能讓 Intel 推薦快閃記憶體描述元寫入保護,如果攻擊者必須能利用中發現的弱點的平台的韌體快閃記憶體實體存取

  • CVE-2008-2017年-5705
  • CVE-2008-2017年-5706
  • CVE-2008-2017年-5707
  • CVE-2008-2017年-5708
  • CVE-2008-2017年-5709
  • CVE-2008-2017年-5710
  • CVE-2008-2017年-5711
攻擊者取得的來手動更新平台透過實際連接到平台的 flash 記憶體的快閃程式設計工具惡意的韌體映像的實體存取。快閃寫入保護 」 是通常設定到了年底製造的平台設定的描述。快閃記憶體描述元寫入保護可防範惡意或非蓄意地變更後製造完成快閃記憶體上的設定。

如果設備製造商未啟用 Intel 推薦快閃記憶體描述元寫入保護,攻擊者需要作業系統核心存取 (邏輯存取,作業系統 Ring 0)。攻擊者必須能存取此弱點識別惡意的韌體映像套用透過惡意的平台驅動程式的平台。

CVE-2008-2017年-5712 中識別弱點是利用遠端搭配有效管理網路上Intel® 管理引擎 認證。如果無法取得有效的系統管理認證可利用不到的弱點。

如果您需要進一步的協助,請聯絡Intel 客戶支援 以提出線上服務要求。

- 為方便您閱讀,本資訊為原始內容經過人工與電腦翻譯後之成果。本內容僅供大致參考之用,不應認定為完整或準確。

本文章適用於:

活躍產品

Intel® 伺服器平台服務韌體