【安全公告】LEN-87863 多供应商 BIOS 安全漏洞（2022 年 5 月）-联想乐享知识库

【安全公告】LEN-87863 多供应商 BIOS 安全漏洞（2022 年 5 月） 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-87863 潜在影响：信息泄露、权限提升、拒绝服务 严重性：高 影响范围：全行业 CVE ID：CVE-2021-33117、CVE-2021-0153、CVE-2021-0154、CVE-2021-0155、CVE-2021-0159、CVE-2021-0188、CVE-2021-0189、CVE-2021-0190、CVE-2021-33103、CVE-2021-33122、CVE-2021-33123、CVE-2021-33124、CVE-2022-0005、CVE-2021-21131、CVE-2021-21136、CVE-2022-21151、CVE-2020-12931、CVE-2020-12944、CVE-2020-12946、CVE-2020-12951、CVE-2021-26312、CVE-2021-26335、CVE-2021-26336、CVE-2021-26337、CVE-2021-26339、CVE-2021-26351、CVE-2021-26352、CVE-2021-26361、CVE-2021-26362、CVE-2021-26363、CVE-2021-26366、CVE-2021-26368、CVE-2021-26369、CVE-2021-26372、CVE-2021-26373、CVE-2021-26375、CVE-2021-26376、CVE-2021-26378、CVE-2021-26386、CVE-2021-26388、CVE-2021-26390、CVE-2021-26317、CVE-2021-39298、CVE-2021-26384、CVE-2021-26342、CVE-2021-26347、CVE-2021-26348、CVE-2021-26349、CVE-2021-26364、CVE-2021-26350 摘要描述： Lenovo 会尽力通过少量的更新提供多个 BIOS 安全修复程序和增强功能。供应商报告了以下漏洞。并非所有在本公告“产品影响”部分中列出的产品都受本摘要中的所有 CVE 的影响。 Intel 报告了部分第三代 Intel Xeon 可扩展处理器中存在潜在安全漏洞，该漏洞可能导致信息泄露。INTEL-SA-00586：CVE-2021-33117 Intel 报告了部分 Intel 处理器的 BIOS 固件或 BIOS 认证代码模块中存在潜在安全漏洞，这些漏洞可能导致权限提升或信息泄露。INTEL-SA-00601：CVE-2021-0153、CVE-2021-0154、CVE-2021-0155、CVE-2021-0159、CVE-2021-0188、CVE-2021-0189、CVE-2021-0190、CVE-2021-33103、CVE-2021-33122、CVE-2021-33123、CVE-2021-33124 Intel 报告了 Intel Software Guard Extensions（SGX）平台中存在潜在安全漏洞，该漏洞可能导致信息泄露。INTEL-SA-00614：CVE-2022-0005 Intel 报告了部分 Intel Xeon 处理器中存在潜在安全漏洞，这些漏洞可能导致信息泄露或拒绝服务。INTEL-SA-00616：CVE-2021-21131、CVE-2021-21136 Intel 报告了部分 Intel 处理器中存在潜在安全漏洞，可能导致信息泄露。INTEL-SA-00617：CVE-2022-21151 AMD 报告了 AMD 客户端平台中存在潜在漏洞。AMD-SB-1027：CVE-2020-12944、CVE-2020-12946、CVE-2020-12951、CVE-2021-26312、CVE-2021-26335、CVE-2021-26336、CVE-2021-26337、CVE-2021-26339、CVE-2021-26351、CVE-2021-26352、CVE-2021-26361、CVE-2021-26362、CVE-2021-26363、CVE-2021-26366、CVE-2021-26368、CVE-2021-26369、CVE-2021-26372、CVE-2021-26373、CVE-2021-26375、CVE-2021-26376、CVE-2021-26378、CVE-2021-26386、CVE-2021-26388、CVE-2021-26390、CVE-2021-26317、CVE-2021-39298、CVE-2021-26339、CVE-2021-26384 AMD 报告了 AMD 服务器平台中存在潜在漏洞。AMD-SB-1028：CVE-2021-26339、CVE-2021-26342、CVE-2021-26347、CVE-2021-26348、CVE-2021-26349、CVE-2021-26372、CVE-2021-26373、CVE-2021-26375、CVE-2021-26376、CVE-2021-26378、CVE-2021-26388、CVE-2021-26364、CVE-2021-26312、CVE-2021-26350解决方案: 针对客户的缓解策略（应采取哪些措施进行自我保护）： 将系统固件升级到“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。 产品影响： 要下载以下专为您的产品指定的版本，请执行以下步骤： 导航到您的产品的 Drivers & Software（驱动程序和软件）支持站点： Lenovo 产品（全球销售，中国除外）：https://support.lenovo.com/ Lenovo 产品（中国销售）：https://newsupport.lenovo.com.cn/ IBM 早期 System x 产品：https://www.ibm.com/support/fixcentral/ 按名称或机器类型搜索产品。 单击左侧菜单面板上的 Drivers & Software（驱动程序和软件）。 单击 Manual Update（手动更新）按组件类型浏览。 将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。 Lenovo 还提供了辅助更新管理的工具，以替代上述手动步骤。如需其他帮助，请参考以下资源： PC 产品和软件：https://support.lenovo.com/us/en/solutions/ht504759 服务器和企业软件：https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd 和 https://datacentersupport.lenovo.com/us/en/documents/lnvo-center 单击下方链接查看受影响的产品： Converged HX 台式机 台式一体机 Lenovo 笔记本电脑 Smart Edge