INTEL-SA-00086 Sicherheitsempfehlung zu Intel ME, SPS und TXE

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Intel hat am 20. November 2017 (amerikanischer Zeit) die Sicherheitsempfehlung (Security Advisory) INTEL-SA-00086 zu Systemen mit Intel Management Engine (ME), Intel Server Platform Services (SPS) und Intel Trusted Execution Engine (TXE) veröffentlicht.[1] Darin warnt Intel vor möglichen Privilege Escalations (Rechteausweitungen)[2] und Buffer Overflows (Pufferüberläufen).[3] In diesem Artikel erfahren Sie, welche Systeme von Thomas-Krenn betroffen sind und mit welchen BIOS-Updates die Sicherheitslücken behoben werden.

Betroffene Systeme

Von den Sicherheitslücken sind laut Intel Systeme mit Intel ME 11.x, SPS 4.0, und TXE 3.0 betroffen. Die folgende Tabelle zeigt im Überblick betroffene Systeme von Thomas-Krenn und enthält Links zu den entsprechenden BIOS- beziehungsweise ME-Updates, mit welchen die Sicherheitslücken geschlossen werden:

CPU Generation Systeme von Thomas-Krenn Status BIOS Update Download-Link BIOS-Update
6th/7th/8th Gen Intel Core Family LES network+ (Testbericht) verfügbar BIOS BF551TK2 (Testbericht BIOS BF551TK2)
PCs mit ASUS H170M-Plus Mainboard (Testbericht) ME Update verfügbar ME Update 1023 (Testbericht ME Update 1023)
PCs mit ASUS H270M-Plus Mainboard (Testbericht) verfügbar
ME Update verfügbar
BIOS 0809 und ME Update 11.8.50.339 (Testbericht ME Update 11.8.50.339)
Xeon E3-1200 v5/v6 Server mit Supermicro X11SSH-F Mainboard verfügbar BIOS 2.0c (Testbericht BIOS 2.0c)
Server mit Supermicro X11SSH-LN4F Mainboard verfügbar BIOS 2.0c (Testbericht BIOS 2.0c)
Server mit Supermicro X11SSH-TF Mainboard verfügbar BIOS 2.0b (Testbericht BIOS 2.0b)
Server mit ASUS P10S-I Mainboard (Testbericht) verfügbar BIOS 4001 (Testbericht BIOS 4001)
Server mit ASUS P10S-M Mainboard (Testbericht) verfügbar BIOS 4001 (Testbericht BIOS 4001)
Xeon Scalable Family Server mit Supermicro X11DPi-N Mainboard verfügbar BIOS 2.0
Server mit Supermicro X11DPi-NT Mainboard (Testbericht) verfügbar BIOS 2.0 (Testbericht BIOS 2.0)
Xeon W Family (Keine Systeme im Thomas-Krenn-Portfolio) - -
Atom C3000 Family (Denverton)
Apollo Lake Atom/Pentium/Celeron Family

Um das richtige BIOS Image für Ihren Server auszuwählen, empfehlen wir Ihnen anhand der Seriennummer Ihres Servers das jeweilige BIOS Image im Bereich Meine Produktübersicht herunter zu laden. Alternativ können Sie auch die genaue Mainboard Bezeichnung auslesen. Bei Fragen kontaktieren Sie gerne unser Support-Team.

Nicht betroffene Systeme

Generell nicht vom INTEL-SA00086 Sicherheitshinweis betroffen sind CPU-Generation, welche vor der Skylake-Generation erschienen sind (siehe dazu auch Intel Mikroarchitektur Überblick).

Nicht betroffen sind beispielsweise:

  • LES v2 (Testbericht)
  • LES v3 (Testbericht)
  • LES Network (Testbericht)
  • Server mit Supermicro X10SLH-F Mainboard (getestet mit Intel Celeron G1820T CPU) (Testbericht)
  • Server mit Supermicro X10DRi Mainboard (getestet mit Intel Xeon E5-2623 v4 CPU) (Testbericht)
  • Server mit ASUS P9D-MV Mainboard (getestet mit Intel Celeron G1820T CPU) (Testbericht)

Einzelnachweise

Weitere Informationen

Änderungshistorie dieses Artikels

  • Version 1.0, 21.11.2017: Initiale Version mit Informationen zum Security Advisory von Intel
  • Version 1.1, 21.11.2017: Informationen zum Supermicro X11SSH-LN4F Mainboard und LES Network ergänzt
  • Version 1.2, 22.11.2017: Informationen zum Supermicro X10DRi Mainboard ergänzt
  • Version 1.3, 22.11.2017: Informationen zum Supermicro X11SSH-F und X11DPi-NT Mainboard ergänzt, erste gepatchte BIOS Versionen im Test
  • Version 1.4, 23.11.2017: Informationen zum ASUS P10S-I Mainboard ergänzt
  • Version 1.4.1, 24.11.2017: Link zu Warnmeldung des BSI sowie zu weiteren Artikel auf heise.de ergänzt
  • Version 2.0, 24.11.2017: BIOS Updates für Supermicro X11SSH-F, X11SSH-LN4F und X11SSH-TF verfügbar
  • Version 2.1, 27.11.2017: Informationen zum ASUS P10S-M Mainboard ergänzt
  • Version 2.2, 27.11.2017: Informationen zum ASUS P9D-MV Mainboard ergänzt
  • Version 2.3, 28.11.2017: Informationen in übersichtliche Tabelle überführt, Informationen zum ASUS H270M-Plus Mainboard ergänzt, Link zu Blog-Beitrag von rapid7 ergänzt
  • Version 2.4, 28.11.2017: Informationen zum ASUS H170M-Plus Mainboard ergänzt, BIOS-Update für ASUS P10S-M im Test bei Thomas-Krenn
  • Version 2.5, 28.11.2017: BIOS-Update für ASUS P10S-I bei Thomas-Krenn verfügbar
  • Version 2.6, 28.11.2017: BIOS-Update für ASUS P10S-M bei Thomas-Krenn verfügbar
  • Version 2.7, 04.12.2017: Management Engine Patch für ASUS H170M-Plus bei Thomas-Krenn verfügbar
  • Version 2.7.1, 04.12.2017: Informationen zu Download anhand der Seriennummer sowie zu Mainboard Bezeichnung auslesen ergänzt.
  • Version 2.8, 06.12.2017: BIOS-Update für LES network+ bei Thomas-Krenn verfügbar
  • Version 2.9, 06.12.2017: BIOS-Update und Management Engine Patch für ASUS H170M-Plus bei Thomas-Krenn verfügbar
  • Version 3.0, 15.12.2017: BIOS-Update für Supermicro X11DPi-N und X11DPi-NT bei Thomas-Krenn verfügbar
  • Version 3.1, 20.12.2017: Artikel abgeschlossen, Formulierungen angepasst
  • Version 3.2, 28.12.2017: Link zu Informationen bei Supermicro ergänzt


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.


Foto Thomas Niedermeier.jpg

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.

Icon-Twitter.png 

Das könnte Sie auch interessieren

Baseboard Management Controller
Login im Supermicro Remote Management Webinterface funktioniert nicht
Systems Management Architecture for Server Hardware (SMASH)