hp-support-head-portlet

操作
正在装入...
HP 客户支持 - 知识库

hp-contact-secondary-navigation-portlet

操作
正在装入...

hp-share-print-widget-portlet

操作
正在装入...

hp-concentra-wrapper-portlet

操作
正在装入...

SUPPORT COMMUNICATION- 資訊安全公告

文件 ID: c06092865

版本: 1

HPSBHF03586 修訂版 1 - DCI 政策更新

Notice:: The information in this security bulletin should be acted upon as soon as possible.

发布日期 : 19-Jul-2018

最近更新 : 20-Jul-2018

Potential Security Impact:
透過有限的實體到場,來提供資訊揭露和權限上呈。
來源: HP,HP 產品安全性回應小組 (PSRT)
報告者: Intel

漏洞简介
從 Skylake 開始的 Intel 平台支援 USB 3 架構的的除錯介面(又稱 Direct Connect Interface 或 DCI)。如果啟用,則可容許硬體組態和記憶體的檢驗/修改。
在第 5 和 6 代 Intel® Xeon® 處理器 E3 家族、Intel® Xeon® 可擴充處理器和 Intel® Xeon® 處理器 D 家族中的 DCI (Direct Connect Interface) 中存在現有 UEF I設定限制,這可容許有限實體到場的攻擊者透過除錯介面來存取平台機密。
此漏洞可能會影響使用以下處理器的平台:
  • Intel® Xeon® 可擴充處理器
  • Intel® Xeon® 處理器 E3 v6 家族 (Kaby Lake)
  • Intel® Xeon® 處理器 E3 v5 家族 (Skylake)
  • Intel® Xeon® 處理器 D 系列 (Skylake-D)
如果滿足以下 任何條件,則可能受影響的產品不受此漏洞的影響:
  • 啟用 EFI 安全開機: 這可以防止載入惡意的自選 ROM。 這也會假設 DCI 控制設定欄位受到同等保護。
  • 啟用 Boot Guard: 「設定」限制啟用 DCI 功能。
  • 透過 UFI 變數調整的使用者控制已與 DCI 政策中斷,且 DCI 政策已設定為停用: 這會消除了啟用 DCI 的能力。
参考编号
CVE-2018-3652, PSR-2018-0141
支持软件版本*: 只列出受影响的版本。
不適用
后台
如需此資訊安全公告的 PGP 簽署版本,請寄送電子郵件至︰ hp-security-alert@hp.com
CVSS 3.0 基本指標
參考
基本向量
基本評分
CVE-2018-3652
CVSS:3.0/AV:P/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
7.3
解决方案
HPI 已經審查可能受影響的系統,並在出貨時判斷,這些系統至少具有以上列出的一項減輕設定,因此不會暴露於此問題。 尤其是已移除 DCI 支援,這意味著透過 UEFI 變數進行的使用控制已從 DCI 政策中斷連結,而 DCI 政策已經停用。 已沒有使用者可存取的設定來啟用 DCI。
...
協力廠商安全性修補程式: 套用要安裝在執行 HP 軟體產品之系統上的協力廠商安全性修補程式時,請務必遵循客戶的修補程式管理原則。
支援: 有關實施此安全性公告的建議的問題,請造訪 http://www.hp.com/go/contacthp 以了解有關 HP 支援選項的資訊。
報告: 若要通報任何 HP 支援產品的潛在安全性漏洞,請寄送電子郵件至: hp-security-alert@hp.com.
訂閱: 若要啟始訂閱以便透過電子郵件接收日後發佈的「HP 資訊安全公告」,請造訪 https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile
資訊安全公告存檔: 若要檢視發行的資訊安全公告,請搜尋 HP 支援網站的「資訊安全公告」。
軟體產品類別: 「軟體產品類別」在標題中,以 HPSB 之後的兩個字元來表示。
PI
HP 列印和影像處理
HF
HP 硬體和韌體
GN
HP 通用軟體
強烈建議使用 PGP,將提供給 HP 的安全性相關資訊加密,尤其是重要資訊。
若要取得安全性警示 PGP 金鑰,請傳送如下的電子郵件:
主旨: 取得金鑰
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."
修订记录 : 版本 1: 2018 年 7 月 9 日初始版本。

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restorationThe information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.

hp-feedback-input-portlet

操作
正在装入...

hp-feedback-banner-portlet

操作
正在装入...

hp-country-locator-portlet

操作
正在装入...
国家/地区: 中国

hp-detect-load-my-device-portlet

操作
正在装入...