Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06694

Опубликовано: 26 авг. 2024
Источник: fstec
CVSS3: 8.2
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения UEFI (BIOS) связана с возможностью использования жёстко закодированных ключей платформы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код до загрузки операционной системы

Вендор

Intel Corp.
Fujitsu Limited
Advanced Micro Devices Inc.
NVIDIA Corp.
Ampere Computing
Marvell Semiconductor, Inc.
Dell Technologies

Наименование ПО

12th Generation Intel Core Processor Family
3rd Generation Intel Xeon Scalable Processors
13th Generation Intel Core Processor Family
14th Generation Intel Core Processor Family
5th Generation Intel Xeon Scalable processors
Fujitsu PRIMERGY GX2460 M1
Fujitsu PRIMERGY GX2570 M6
Fujitsu AU254 M4
Fujitsu AU254 M5
Fujitsu AU25 M6
Fujitsu AU47 M6
AMD EPYC 9004 Series
AMD EPYC 8004 Series
AMD EPYC 7003 Series
AMD EPYC 7002 Series
AMD EPYC 7001 Series
AMD EPYC 4004 Series
AMD EPYC Ryzen 7000
AMD Ryzen Threadripper PRO 7000 WX-Series Processors
AMD Ryzen Threadripper PRO 5000 WX-Series
AMD Ryzen Threadripper PRO 3000 WX-Series
4th Gen Intel Xeon Scalable Processors
Intel Xeon CPU Max Series
2nd Gen Intel Xeon Scalable Processors
Intel Xeon E-2400 Series Processors
Intel Xeon E-2300 Series Processors
Intel Xeon E-2200 Series Processors
Intel Xeon W-3400 Processors
Intel Xeon W-2400 Processors
NVIDIA Grace CPU
Ampere Altra Max Processors
Marvell ThunderX2 Processors
Alienware Area 51M R2
Alienware Aurora R15 AMD
Alienware M15 R3
Alienware M15 R4
Alienware M17 R3
Alienware M17 R4
Alienware X14
Alienware X15 R1
Alienware x15 R2
Alienware X17 R1
Alienware x17 R2

Версия ПО

- (12th Generation Intel Core Processor Family)
- (3rd Generation Intel Xeon Scalable Processors)
- (13th Generation Intel Core Processor Family)
- (14th Generation Intel Core Processor Family)
- (5th Generation Intel Xeon Scalable processors)
- (Fujitsu PRIMERGY GX2460 M1)
- (Fujitsu PRIMERGY GX2570 M6)
- (Fujitsu AU254 M4)
- (Fujitsu AU254 M5)
- (Fujitsu AU25 M6)
- (Fujitsu AU47 M6)
- (AMD EPYC 9004 Series)
- (AMD EPYC 8004 Series)
- (AMD EPYC 7003 Series)
- (AMD EPYC 7002 Series)
- (AMD EPYC 7001 Series)
- (AMD EPYC 4004 Series)
- (AMD EPYC Ryzen 7000)
- (AMD Ryzen Threadripper PRO 7000 WX-Series Processors)
- (AMD Ryzen Threadripper PRO 5000 WX-Series)
- (AMD Ryzen Threadripper PRO 3000 WX-Series)
- (4th Gen Intel Xeon Scalable Processors)
- (Intel Xeon CPU Max Series)
- (2nd Gen Intel Xeon Scalable Processors)
- (Intel Xeon E-2400 Series Processors)
- (Intel Xeon E-2300 Series Processors)
- (Intel Xeon E-2200 Series Processors)
- (Intel Xeon W-3400 Processors)
- (Intel Xeon W-2400 Processors)
- (NVIDIA Grace CPU)
- (Ampere Altra Max Processors)
- (Marvell ThunderX2 Processors)
до 1.29.0 (Alienware Area 51M R2)
до 1.15.0 (Alienware Aurora R15 AMD)
до 1.29.0 (Alienware M15 R3)
до 1.24.0 (Alienware M15 R4)
до 1.29.0 (Alienware M17 R3)
до 1.24.0 (Alienware M17 R4)
до 1.21.0 (Alienware X14)
до 1.24.0 (Alienware X15 R1)
до 1.22.0 (Alienware x15 R2)
до 1.24.0 (Alienware X17 R1)
до 1.22.0 (Alienware x17 R2)

Тип ПО

ПО программно-аппаратного средства
Микропрограммный код
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств доверенной загрузки для предотвращения возможности эксплуатации уязвимости.
Использование рекомендаций производителя:
https://www.supermicro.com/en/support/security_PKFAIL_Jul_2024
https://www.gigabyte.com/us/Support/Security/2205
https://security.ts.fujitsu.com/ProductSecurity/content/Fujitsu-PSIRT-FJ-ISS-2024-072412-Security-Notice.pdf
https://www.intel.com/content/www/us/en/security-center/announcement/intel-security-announcement-2024-07-25-001.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00014
Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-8105

CVSS3: 8.2
redhat
больше 1 года назад

A vulnerability related to the use an insecure Platform Key (PK) has been discovered. An attacker with the compromised PK private key can create malicious UEFI software that is signed with a trusted key that has been compromised.

nvd логотип

CVE-2024-8105

CVSS3: 6.4
nvd
больше 1 года назад

A vulnerability related to the use an insecure Platform Key (PK) has been discovered. An attacker with the compromised PK private key can create malicious UEFI software that is signed with a trusted key that has been compromised.

github логотип

GHSA-5xg9-v43g-xgcj

CVSS3: 6.4
github
больше 1 года назад

A vulnerability related to the use an insecure Platform Key (PK) has been discovered. An attacker with the compromised PK private key can create malicious UEFI software that is signed with a trusted key that has been compromised.

EPSS

Процентиль: 2%
0.00014
Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2