Moteur de gestion Intel® Mise à jour critique du firmware (Intel-SA-00086)

Documentation

Dépannage

000025619

16/08/2018

Moteur de gestion Intel® (Intel® me 6. x/7. x/8. x/9. x/10. x/11. x), le moteur d'exécution fiable Intel® (Intel® TXE 3,0) et la vulnérabilité Intel® Server Platform Services (Intel® SPS 4,0) (Intel-sa-00086)

NoteCet article décrit les problèmes liés aux failles de sécurité trouvées dans le firmware du Moteur de gestion Intel® . Cet article ne contient pas d'informations relatives à la vulnérabilité du canal latéral du processeur (connu sous le nom de fusion/spectre). Si vous êtes à la recherche d'informations sur l'effondrement/spectre problème, aller à Side-Channel Analysis Facts et les produits Intel®.

En réponse à des questions identifiées par des chercheurs externes, Intel a effectué un examen approfondi de la sécurité complète des éléments suivants dans le but d'améliorer la résilience du firmware:

  • Moteur de gestion Intel® (Intel® ME)
  • Moteur d'exécution fiable Intel® (Intel® TXE)
  • Intel® Server Platform Services (SPS)

Intel a identifié des failles de sécurité qui pourraient potentiellement avoir un impact sur certains ordinateurs, serveurs et plateformes d'ITO.

Les systèmes utilisant les versions 6. x-11. x du micrologiciel Intel ME, les serveurs utilisant la version 4,0 du micrologiciel SPS et les systèmes utilisant la version 3,0 de TXE sont touchés. Vous pouvez trouver ces versions de firmware sur certains processeurs de la:

  • familles de processeur Intel® Core™ de la 1re, 2e, 3e, 4e, 5e, 6e, 7e et 8e génération
  • processeur Intel® Xeon® Famille de produits E3-1200 V5 et V6
  • processeur Intel® Xeon® Famille évolutive
  • Processeur Intel® Xeon® W
  • Famille de processeurs Intel Atom® C3000
  • Apollo Lake processeur Intel Atom® série E3900
  • Processeurs Intel® Pentium® d'Apollo Lake
  • Processeur Intel® Pentium® Série G
  • Processeurs Intel® Celeron® G, N, et série J

Pour déterminer si les vulnérabilités identifiées influent sur votre système, téléchargez et exécutez l'outil de détection Intel-SA-00086 en utilisant les liens ci-dessous.

Section Foire aux questions

Ressources disponibles

Ressources pour les utilisateurs de Microsoft et Linux *

NoteLes versions de l'outil de détection INTEL-SA-00086 antérieures à 1.0.0.146 n'ont pas vérifié les références CVE-2017-5711 et CVE-2017-5712. Ces CVEs affectent uniquement les systèmes dotés de la technologie Intel® Active Management Technology (Intel® AMT) version 8. x-10. x. Les utilisateurs de systèmes avec Intel AMT 8. x-10. x sont encouragés à installer la version 1.0.0.146 ou ultérieure. L'installation de cette version permet de vérifier l'état de leur système en ce qui concerne l'avis de sécurité INTEL-SA-00086. Vous pouvez vérifier la version de l'outil de détection INTEL-SA-00086 en exécutant l'outil et en recherchant les informations de version dans la fenêtre de sortie.

Ressources de système/carte mère fabricant

NoteDes liens pour d'autres fabricants de système/carte mère seront fournis quand disponible. Si votre fabricant n'est pas répertorié, contactez-le pour plus d'informations sur la disponibilité de la mise à jour Logiciels nécessaire.


Foire aux questions:

Q: l'outil de détection Intel-SA-00086 signale que mon système est vulnérable. Qu'est-ce que je fais?
A:
Intel a fourni le système et les fabricants de carte mère avec le firmware et les mises à jour logicielles nécessaires pour résoudre les vulnérabilités identifiées dans l'avis de sécurité Intel-sa-00086.

Contactez votre fabricant de système ou de carte mère au sujet de leurs plans pour faire les mises à jour disponibles aux utilisateurs finaux.

Certains fabricants ont fourni à Intel un lien direct pour que leurs clients obtiennent des informations supplémentaires et des mises à jour logicielles disponibles (se reporter à la liste ci-dessous).

Q: Pourquoi dois-je contacter le fabricant de mon système ou de ma carte mère? Pourquoi Intel ne peut pas fournir la mise à jour nécessaire pour mon système?
A:
Intel n'est pas en mesure de fournir une mise à jour générique en raison des personnalisations du firmware du moteur de gestion effectuées par les fabricants de systèmes et de cartes mères.

Q: mon système est signalé comme pouvant être vulnérable par l'outil de détection Intel-sa-00086. Qu'est-ce que je fais?
A:
un état peut être vulnérable est généralement vu lorsque l'un des pilotes suivants ne sont pas installés:

  • Moteur de gestion Intel® Pilote d'interface (Intel® MEI)
Ou
  • Pilote Intel® TXEI (Trusted Execution Engine Interface)
Contactez votre fabricant de système ou de carte mère pour obtenir les pilotes appropriés pour votre système.

Q: le fabricant de mon système ou de ma carte mère n'apparaît pas dans votre liste. Qu'est-ce que je fais?
A:
la liste ci-dessous montre des liens des fabricants de système ou de carte mère qui ont fourni des informations d'Intel. Si votre fabricant n'est pas affiché, contactez-le en utilisant les mécanismes de Assistance standard (site Web, téléphone, courriel, etc.) pour obtenir de l'aide.

Q: Quels types d'accès un attaquant doit-il utiliser pour exploiter les vulnérabilités identifiées?
A:
si le fabricant de l'équipement active les protections d'écriture de descripteur Flash recommandées par Intel, un attaquant a besoin d'un accès physique au flash du firmware de la plate-forme pour exploiter les vulnérabilités identifiées dans:

  • CVE-2017-5705
  • CVE-2017-5706
  • CVE-2017-5707
  • CVE-2017-5708
  • CVE-2017-5709
  • CVE-2017-5710
  • CVE-2017-5711
L'attaquant obtient l'accès physique en mettant à jour manuellement la plate-forme avec une image de microprogramme malveillante par l'intermédiaire du programmeur instantané physiquement relié à la mémoire flash de la plate-forme. Flash Descriptor Write-protection est un paramètre de plate-forme généralement défini à la fin de la fabrication. La protection en écriture du deScripteur Flash protège les paramètres du flash contre les changements malveillants ou involontaires après la fin de la fabrication.

Si le fabricant de l'équipement n'active pas les protections d'écriture de descripteur Flash recommandées par Intel, un attaquant doit utiliser l'accès au noyau (accès logique, anneau du système d'exploitation 0). L'attaquant a besoin de cet accès pour exploiter les vulnérabilités identifiées en appliquant une image de microprogramme malveillante à la plate-forme par le biais d'un pilote de plate-forme malveillante.

La vulnérabilité identifiée dans CVE-2017-5712 est exploitable à distance sur le réseau en conjonction avec une information d'identification de moteur d'administration Moteur de gestion Intel® valide. La vulnérabilité n'est pas exploitable si une information d'identification d'administration valide n'est pas disponible.

Si vous avez besoin d'assistance, contactez le Assistance client d'Intel pour soumettre une demande de service en ligne.