Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/04/15

Garrantzia: Altua

Kaltetutako baliabideak: 

• Intel® Modular Server MFS2600KISPP Compute Module, bertsio guztiak;
• Intel® NUC 8 Rugged Kit NUC8CCHKR;
• Intel® NUC Board NUC8CCHB;
• Intel® NUC 7 Essential PC NUC7CJYSAL;
• Intel® NUC Kit NUC7CJYH
• Intel® NUC Kit NUC7PJYH;
• Intel® NUC Kit NUC6CAYS;
• Intel® NUC Kit NUC6CAYH;
• Intel® NUC Kit DE3815TYKHE;
• Intel® NUC Board DE3815TYBE;
• Intel® Compute Stick STCK1A32WFC.

Azalpena: 

DCG Red Team-eko Michael N. Henry ikertzaileak eta Dmitry Frolov ikertzaileak 4 ahultasunen berri eman dute, 2 larritasun altukoak eta 2 ertainekoak. Horiek baliatuz erasotzaile batek pribilegioen eskalatzea egin lezake edo zerbitzuaren ukapena eragin.

Konponbidea: 

• Intel® Modular Server MFS2600KISPP Compute Module-ren kasuan, fabrikatzaileak gomendatzen du produktua erabiltzeari uztea, zerbitzuz kanpo baitago.
•  Intel® NUC eta Intel® Compute Stick-en kasuan, firmware-a azken bertsiora eguneratzea, ohartarazpenaren Affected Products taulan azaltzen den moduan.

Xehetasuna: 

• Intel(R) Modular Server MFS2600KISPP Compute Module-k duen baldintzen baliozkotze desegokia baliatuz, autentifikatu gabeko alboko erasotzaile batek pribilegioen eskalatzea gaitu lezake. Ahultasun horretarako CVE-2020-0578 identifikatzailea erreserbatu da.
• Intel(R) NUC batzuetarako firmware-ak dituen bufferraren murrizpen desegoki batzuk baliatuz, autentifikatutako erasotzaile lokal batek pribilegioen eskalatzea egin lezake. Ahultasun horretarako CVE-2020-0600 identifikatzailea erreserbatu da.

Larritasun ertaineko ahultasunetarako CVE-2020-0576 eta CVE-2020-0577 identifikatzaileak erreserbatu dira.

Etiketak: Eguneraketa, Ahultasuna