Служба поддержки клиентов HP - База знаний

hp-contact-secondary-navigation-portlet

Действия
Загрузка...
  • Информация

    Устраните проблемы с компьютерами и принтерами HP, связанные с обновлением Windows 10. Нажмите сюда

    Информация
    Создайте аккаунт HP уже сегодня!

     Получите быстрый доступ к материалам поддержки HP, управляйте устройствами в одном месте, ознакомьтесь с информацией о гарантии и многое другое. Узнать больше

SUPPORT COMMUNICATION- SECURITY BULLETIN

Номер документа: c06549547

Версия: 2

HPSBHF03647 ред. 2 - Уязвимость прямого доступа к памяти (DMA) перед загрузкой при возможности прямого доступа к внутренним компонентам компьютера HP

Notice:: The information in this security bulletin should be acted upon as soon as possible.

Дата выпуска : 30-Jan-2020

Последнее обновление : 02-Mar-2020

Potential Security Impact:
Произвольное исполнение кода, отказ в обслуживании, раскрытие информации.
Источник: HP, HP Product Security Response Team (PSRT).
Автор: Микки Шкатов из Eclypsium и Золтан Хармас из Microsoft.

РЕЗЮМЕ УЯЗВИМОСТЕЙ
Наличие потенциальной уязвимости для DMA перед загрузкой может допустить неавторизованное выполнение кода UEFI при физическом доступе злоумышленника к внутренним компонентам компьютера. Эта общая для отрасли проблема подразумевает наличие у злоумышленника физического доступа к внутренним разъемам расширения компьютера с использованием специализированных аппаратных и программных инструментов, позволяющих изменить код UEFI в памяти.
Номер
CVE-2019-18913, PSR-2019-0095, PSR-2019-0163
ВЕРСИИ ПОДДЕРЖИВАЕМОГО ПО*: Перечислены ТОЛЬКО затронутые версии.
Список затрагиваемых продуктов см. в разделе "РЕШЕНИЕ ПРОБЛЕМ".
ДАННЫЕ
Для получения версии этого бюллетеня безопасности c PGP-подписью напишите по адресу hp-security-alert@hp.com.
Базовые показатели CVSS 3.0
Регистрационный номер
Базовый вектор
Базовый рейтинг
CVE-2019-18913
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
6.1
РЕШЕНИЕ
HP делает средства защиты BIOS доступными для профессиональных ПК на основе Intel, поддерживающих защиту Microsoft Windows 10 Kernel DMA, расширяя отраслевое стандартное решение по защите DMA перед загрузкой для противодействия атакам с использованием портов Thunderbolt на защиту от атак на внутренние разъемы PCI Express, расположенные внутри компьютера. Ниже приведен список платформ с исправленной проблемой и доступные обновления SoftPaq для BIOS.
После обновления BIOS необходимо настроить параметр Pre-boot DMA Protection (Защита DMA перед загрузкой), чтобы включить эту защиту.
Дополнительные сведения об устранении атак на DMA можно найти в техническом документе HP Устранение атак на Thunderbolt™ 3 DMA.
Клиентам, которые беспокоятся из-за возможности доступа злоумышленников к внутренним компонентам компьютера, когда злоумышленник получает физический доступ к внутренним компонентам компьютера, компания HP рекомендует внедрить надлежащие физические меры безопасности, чтобы злоумышленник не мог получить доступ, разобрать или модифицировать эти устройства. Несмотря на выпуск компанией HP обновления BIOS для устранения этой конкретной атаки с возможностью физического доступа к внутренним компонентам данных платформ, поддерживающих современную защиту от атак на DMA на основе IOMMU, следует помнить, что злоумышленник, имеющий физический доступ и возможность модифицировать оборудование, обеспечивает себе значительную площадь атаки, которая значительно превышает данную возможность атаки на DMA. По этой причине ограничение физического доступа к устройству рекомендуется даже в тех ситуациях, когда развернута защита BIOS.
Компания HP определила затрагиваемые платформы и соответствующие версии обновленных пакетов SoftPaq. Ниже приведены затрагиваемые платформы.
Примечание.
HP рекомендует поддерживать свою систему в актуальном состоянии, используя самое новое программное обеспечение, драйверы и микропрограммы.
Зарегистрируйтесь для получения Подписки HP и получайте следующие уведомления:
  • Продукт поддерживает предупреждения eAlerts
  • Обновления драйверов
  • Обновления бюллетеней безопасности

Включение защиты DMA перед загрузкой

Для платформ, поддерживающих обновленное решение, настройте для параметра "Защита DMA перед загрузкой" одно из следующих значений, что приведет к включению защиты:
  1. Включите или перезапустите компьютер.
  2. Пока экран еще черный нажмите клавишу F10, чтобы войти в меню настройки BIOS.
  3. Выберите Advanced (Дополнительно), затем выберите меню System Options (Параметры системы).
  4. Щелкните Защита DMA перед загрузкой и внесите изменения конфигурации в соответствии с указаниями ниже и в зависимости от поддержки Thunderbolt вашей платформой:
    • Thunderbolt и карта расширения PCIe для систем, поддерживающих Thunderbolt.
    • Карта расширения PCIe для систем, не поддерживающих Thunderbolt.
    • Все устройства PCI для более новых поколений, поддерживающих этот параметр.
  5. Сохраните изменения и выйдите из программы.

Профессиональные настольные компьютеры

Название устройства
Обновленная версия
Номер пакета SoftPaq
Ссылка на пакет SoftPaq
HP EliteDesk 800 G5 DM
02.04.02
SP101126
HP EliteDesk 800 G5 SFF
02.04.02
SP101143
HP EliteDesk 800 G5 TWR
02.04.02
SP101143
Моноблок HP EliteOne 800 G5 All-in-One
02.04.02
SP101120
HP ProDesk 400 G5 DM
02.04.01
SP101128
HP ProDesk 400 G6 MT
02.04.01
SP101145
HP ProDesk 400 G6 SFF
02.04.02
SP101148
HP ProDesk 480 G6 MT
02.04.01
SP101145
HP ProDesk 600 G5 DM
02.04.01
SP101127
HP ProDesk 600 G5 MT
02.04.01
SP101144
HP ProDesk 600 G5 PCI MT
02.04.01
SP101144
HP ProDesk 600 G5 SFF
02.04.01
SP101255
Моноблок HP ProOne 400 G5 AiO
02.04.01
SP101174
Моноблок HP ProOne 440 G5 AiO
02.04.01
SP101174
Моноблок HP ProOne 600 G5 AiO
02.04.01
SP101174
HP Elite Dragonfly
01.04.02
SP101295
HP Elite x2 G4
01.04.02
SP101379
HP EliteBook 830 G6
01.04.02
SP101245
HP EliteBook 836 G6
01.04.02
SP101245
HP EliteBook 840 G6
01.04.02
SP101245
HP EliteBook 840 G6 для организаций здравоохранения
01.04.02
SP101245
HP EliteBook 846 G6
01.04.02
SP101245
HP EliteBook 846 G6 для организаций здравоохранения
01.04.02
SP101245
HP EliteBook 850 G6
01.04.02
SP101245
HP EliteBook x360 1030 G4
01.04.02
SP101274
HP EliteBook x360 1040 G6
01.04.02
SP101318
HP EliteBook x360 830 G6
01.04.02
SP101247
HP ProBook 640 G5
01.04.02
SP101246
HP ProBook 650 G5
01.04.02
SP101246
Мобильная рабочая станция HP ZBook 14u G6
01.04.02
SP101245
Мобильная рабочая станция HP ZBook 15 G6
01.04.05
SP101734
Мобильная рабочая станция HP ZBook 15u G6
01.04.02
SP101245
Мобильная рабочая станция HP ZBook 17 G6
01.04.05
SP101734
HP ZHAN X 13 G2
01.04.02
SP101248
Исправления безопасности от сторонних производителей: Исправления безопасности от сторонних производителей, которые устанавливаются на системы, использующие программные продукты HP, должны применяться в соответствии с политикой управления исправлениями, принятой у клиента.
Поддержка: По вопросам о реализации рекомендаций, приведенных в этом бюллетене безопасности, посетите сайт https://www.hp.com/go/contacthp, где приведены возможные варианты поддержки HP.
Отчет: Чтобы сообщить о потенциальной уязвимости системы безопасности в любых продуктах, поддерживаемых HP, отправьте сообщение электронной почты по адресу hp-security-alert@hp.com.
Подписка: Чтобы активировать подписку на получение будущих бюллетеней безопасности HP по электронной почте, зайдите на веб-страницу https://www.hp.com/go/alerts.
Архив бюллетеней безопасности: Чтобы просмотреть выпущенные бюллетени безопасности, выполните на Сайте технической поддержки HP поиск по словам "бюллетень безопасности".
Категория программных продуктов: Категория программных продуктов указывается в заголовке в виде двух букв после обозначения HPSB.
PI
Печать и формирование изображений HP
HF
Оборудование и микропрограммы HP
GN
Общее программное обеспечение HP
Настоятельно рекомендуется всю относящуюся к вопросам безопасности информацию, передаваемую в HP, шифровать с использованием PGP, в особенности сведения об уязвимостях.
Чтобы получить ключ предупреждения безопасности PGP, отправьте по электронной почте следующее сообщение:
Тема: get key
System management and security procedures must be reviewed frequently to maintain system integrity. HP is continually reviewing and enhancing the security features of software products to provide customers with current secure solutions.

"HP is broadly distributing this Security Bulletin in order to bring to the attention of users of the affected HP products the important security information contained in this Bulletin.HP recommends that all users determine the applicability of this information to their individual situations and take appropriate action.HP does not warrant that this information is necessarily accurate or complete for all user situations and, consequently, HP will not be responsible for any damages resulting from user's use or disregard of the information provided in this Bulletin.To the extent permitted by law, HP disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose, title and non-infringement."
История изменений : Версия: 1 – 30 января 2020 г. – исходный выпуск. Версия: 2 – 3 февраля 2020 г. – изменено описание для уточнения того, что злоумышленнику понадобится "физический доступ к внутренним компонентам компьютера", изменен вектор и оценки CVE для физического доступа, также добавлены сведения о пакете SoftPaq для моделей HP ZBook 15 G6 и 17 G6.

HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.The information provided is provided "as is" without warranty of any kind.To the extent permitted by law, neither HP or its affiliates, subcontractors or suppliers will be liable for incidental, special or consequential damages including downtime cost; lost profits; damages relating to the procurement of substitute products or services; or damages for loss of data, or software restoration.The information in this document is subject to change without notice.HP Inc. and the names of HP products referenced herein are trademarks of HP Inc. in the United States and other countries.Other product and company names mentioned herein may be trademarks of their respective owners.


Страна/регион: Flag Казахстан

hp-detect-load-my-device-portlet

Действия
Загрузка...