INTEL-SA-00086 Sicherheitsempfehlung zu Intel ME, SPS und TXE
Intel hat am 20. November 2017 (amerikanischer Zeit) die Sicherheitsempfehlung (Security Advisory) INTEL-SA-00086 zu Systemen mit Intel Management Engine (ME), Intel Server Platform Services (SPS) und Intel Trusted Execution Engine (TXE) veröffentlicht.[1] Darin warnt Intel vor möglichen Privilege Escalations (Rechteausweitungen)[2] und Buffer Overflows (Pufferüberläufen).[3] In diesem Artikel erfahren Sie, welche Systeme von Thomas-Krenn betroffen sind und mit welchen BIOS-Updates die Sicherheitslücken behoben werden.
Betroffene Systeme
Von den Sicherheitslücken sind laut Intel Systeme mit Intel ME 11.x, SPS 4.0, und TXE 3.0 betroffen. Die folgende Tabelle zeigt im Überblick betroffene Systeme von Thomas-Krenn und enthält Links zu den entsprechenden BIOS- beziehungsweise ME-Updates, mit welchen die Sicherheitslücken geschlossen werden:
CPU Generation | Systeme von Thomas-Krenn | Status BIOS Update | Download-Link BIOS-Update |
---|---|---|---|
6th/7th/8th Gen Intel Core Family | LES network+ (Testbericht) | verfügbar | BIOS BF551TK2 (Testbericht BIOS BF551TK2) |
PCs mit ASUS H170M-Plus Mainboard (Testbericht) | ME Update verfügbar | ME Update 1023 (Testbericht ME Update 1023) | |
PCs mit ASUS H270M-Plus Mainboard (Testbericht) | verfügbar ME Update verfügbar |
BIOS 0809 und ME Update 11.8.50.339 (Testbericht ME Update 11.8.50.339) | |
Xeon E3-1200 v5/v6 | Server mit Supermicro X11SSH-F Mainboard | verfügbar | BIOS 2.0c (Testbericht BIOS 2.0c) |
Server mit Supermicro X11SSH-LN4F Mainboard | verfügbar | BIOS 2.0c (Testbericht BIOS 2.0c) | |
Server mit Supermicro X11SSH-TF Mainboard | verfügbar | BIOS 2.0b (Testbericht BIOS 2.0b) | |
Server mit ASUS P10S-I Mainboard (Testbericht) | verfügbar | BIOS 4001 (Testbericht BIOS 4001) | |
Server mit ASUS P10S-M Mainboard (Testbericht) | verfügbar | BIOS 4001 (Testbericht BIOS 4001) | |
Xeon Scalable Family | Server mit Supermicro X11DPi-N Mainboard | verfügbar | BIOS 2.0 |
Server mit Supermicro X11DPi-NT Mainboard (Testbericht) | verfügbar | BIOS 2.0 (Testbericht BIOS 2.0) | |
Xeon W Family | (Keine Systeme im Thomas-Krenn-Portfolio) | - | - |
Atom C3000 Family (Denverton) | |||
Apollo Lake Atom/Pentium/Celeron Family |
Um das richtige BIOS Image für Ihren Server auszuwählen, empfehlen wir Ihnen anhand der Seriennummer Ihres Servers das jeweilige BIOS Image im Bereich Meine Produktübersicht herunter zu laden. Alternativ können Sie auch die genaue Mainboard Bezeichnung auslesen. Bei Fragen kontaktieren Sie gerne unser Support-Team.
Nicht betroffene Systeme
Generell nicht vom INTEL-SA00086 Sicherheitshinweis betroffen sind CPU-Generation, welche vor der Skylake-Generation erschienen sind (siehe dazu auch Intel Mikroarchitektur Überblick).
Nicht betroffen sind beispielsweise:
- LES v2 (Testbericht)
- LES v3 (Testbericht)
- LES Network (Testbericht)
- Server mit Supermicro X10SLH-F Mainboard (getestet mit Intel Celeron G1820T CPU) (Testbericht)
- Server mit Supermicro X10DRi Mainboard (getestet mit Intel Xeon E5-2623 v4 CPU) (Testbericht)
- Server mit ASUS P9D-MV Mainboard (getestet mit Intel Celeron G1820T CPU) (Testbericht)
Einzelnachweise
- ↑ Intel Q3’17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update (security-center.intel.com)
- ↑ Rechteausweitung (de.wikipedia.org)
- ↑ Pufferüberlauf (de.wikipedia.org)
Weitere Informationen
- Intel stopft neue Sicherheitslücken der Management Engine (SA-00086) (heise.de, 21.11.2017)
- INTEL-SA-00086 Security Bulletin for Intel Management Engine (ME) and Advanced Management Technology (AMT) Vulnerabilities: What You Need To Know (blog.rapid7.com, 21.11.2017)
- CB-K17/2012 (bsi.bund.de, 22.11.2017)
- Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät (heise.de, 23.11.2017)
- Intel Security Vulnerabilities Regarding Intel® Management Engine (ME), Intel® Server Platform Services (SPS), and Intel® Trusted Execution Engine (TXE) (www.supermicro.com)
Änderungshistorie dieses Artikels
- Version 1.0, 21.11.2017: Initiale Version mit Informationen zum Security Advisory von Intel
- Version 1.1, 21.11.2017: Informationen zum Supermicro X11SSH-LN4F Mainboard und LES Network ergänzt
- Version 1.2, 22.11.2017: Informationen zum Supermicro X10DRi Mainboard ergänzt
- Version 1.3, 22.11.2017: Informationen zum Supermicro X11SSH-F und X11DPi-NT Mainboard ergänzt, erste gepatchte BIOS Versionen im Test
- Version 1.4, 23.11.2017: Informationen zum ASUS P10S-I Mainboard ergänzt
- Version 1.4.1, 24.11.2017: Link zu Warnmeldung des BSI sowie zu weiteren Artikel auf heise.de ergänzt
- Version 2.0, 24.11.2017: BIOS Updates für Supermicro X11SSH-F, X11SSH-LN4F und X11SSH-TF verfügbar
- Version 2.1, 27.11.2017: Informationen zum ASUS P10S-M Mainboard ergänzt
- Version 2.2, 27.11.2017: Informationen zum ASUS P9D-MV Mainboard ergänzt
- Version 2.3, 28.11.2017: Informationen in übersichtliche Tabelle überführt, Informationen zum ASUS H270M-Plus Mainboard ergänzt, Link zu Blog-Beitrag von rapid7 ergänzt
- Version 2.4, 28.11.2017: Informationen zum ASUS H170M-Plus Mainboard ergänzt, BIOS-Update für ASUS P10S-M im Test bei Thomas-Krenn
- Version 2.5, 28.11.2017: BIOS-Update für ASUS P10S-I bei Thomas-Krenn verfügbar
- Version 2.6, 28.11.2017: BIOS-Update für ASUS P10S-M bei Thomas-Krenn verfügbar
- Version 2.7, 04.12.2017: Management Engine Patch für ASUS H170M-Plus bei Thomas-Krenn verfügbar
- Version 2.7.1, 04.12.2017: Informationen zu Download anhand der Seriennummer sowie zu Mainboard Bezeichnung auslesen ergänzt.
- Version 2.8, 06.12.2017: BIOS-Update für LES network+ bei Thomas-Krenn verfügbar
- Version 2.9, 06.12.2017: BIOS-Update und Management Engine Patch für ASUS H170M-Plus bei Thomas-Krenn verfügbar
- Version 3.0, 15.12.2017: BIOS-Update für Supermicro X11DPi-N und X11DPi-NT bei Thomas-Krenn verfügbar
- Version 3.1, 20.12.2017: Artikel abgeschlossen, Formulierungen angepasst
- Version 3.2, 28.12.2017: Link zu Informationen bei Supermicro ergänzt
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.
|
Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates. |