Intel AMT和Intel ISM信息泄漏漏洞

CVE编号

CVE-2020-8754

利用情况

暂无

补丁情况

N/A

披露时间

2020-11-13

漏洞描述

Intel Active Management Technology（AMT）是美国英特尔（Intel）公司的一套以硬件为基础的计算机远程主动管理技术软件。 Intel AMT和Intel ISM存在安全漏洞，该漏洞源于越界读入子系统可能允许未经身份验证的用户通过网络访问潜在地启用信息泄露。以下产品及版本受到影响： ISM versions 11.8.80之前版本, 11.12.80版本, 11.22.80版本, 12.0.70版本, 14.0.45版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://support.lenovo.com/us/en/product_security/LEN-39432

参考链接
https://security.netapp.com/advisory/ntap-20201113-0003/
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00391

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	intel	active_management_technology	*		Up to (excluding) 11.8.80
	运行在以下环境
	应用	intel	active_management_technology	*	From (including) 11.12.0	Up to (excluding) 11.12.80
	运行在以下环境
	应用	intel	active_management_technology	*	From (including) 11.22.0	Up to (excluding) 11.22.80
	运行在以下环境
	应用	intel	active_management_technology	*	From (including) 12.0	Up to (excluding) 12.0.70
	运行在以下环境
	应用	intel	active_management_technology	*	From (including) 14.0	Up to (excluding) 14.0.45
	运行在以下环境
	应用	intel	standard_manageability	*		Up to (excluding) 11.8.80
	运行在以下环境
	应用	intel	standard_manageability	*	From (including) 11.12.0	Up to (excluding) 11.12.80
	运行在以下环境
	应用	intel	standard_manageability	*	From (including) 11.22.0	Up to (excluding) 11.22.80
	运行在以下环境
	应用	intel	standard_manageability	*	From (including) 12.0	Up to (excluding) 12.0.70
	运行在以下环境
	应用	intel	standard_manageability	*	From (including) 14.0	Up to (excluding) 14.0.45
	运行在以下环境
	应用	netapp	cloud_backup	-	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型
CWE-125	跨界内存读

Exp相关链接

- avd.aliyun.com