Intel corrige plusieurs vulnérabilités importantes dans ses produits

Intel a corrigé 18 vulnérabilités dans ses produits, dont une critique. Six de ces vulnérabilités ont un score CVSS élevé et neuf sont modérées. L’exploitation de ces vulnérabilités permettrait la divulgation d’informations, l’élévation de privilèges ou encore de provoquer un déni de service. Un attaquant pourrait aussi exploiter certaines vulnérabilités pour injecter des fichiers DLL ou encore exécuter du code arbitraire en local ou à distance.

Les vulnérabilités les plus critiques sont référencées comme suit :

  • CVE-2018-3679 [CVSS 9.6] : une vulnérabilité dont l'exploitation pourrait permettre à un attaquant distant non authentifié d'exécuter du code de manière arbitraire en tant qu'administrateur. La vulnérabilité se situe dans l'interface utilisateur du logiciel Intel Data Center Manager SDK et impacte les versions 5.0 et antérieures.
  • CVE-2018-12171 [CVSS 8.3] : une vulnérabilité dont l'exploitation pourrait permettre à un attaquant d'exécuter du code arbitraire en tant qu'administrateur ou de provoquer un déni de service sur le réseau. La vulnérabilité impacte les versions 1.43.91f76955 et antérieures du microprogramme Intel Baseboard Management Controller (BMC).
  • CVE-2018-12150 [CVSS 8.3] : une vulnérabilité dont l'exploitation pourrait permettre à un attaquant authentifié disposant d'exécuter du code de manière arbitraire en tant qu'administrateur ou de divulguer des informations via un accès local. Cette vulnérabilité impacte dans les versions antérieures 6.4.1.21 et antérieures du programme d'installation pour Intel Extreme Tuning Utility.
  • CVE-2018-12149 [CVSS 8.3] : une vulnérabilité de type dépassement de tampon dont l'exploitation pourrait permettre à un attaquant authentifié disposant d'un accès local de provoquer un déni de service dans l'application. La vulnérabilité impacte les versions 6.4.1.21 et antérieures du programme Intel Extreme Tuning Utility.
  • CVE-2018-12176 [CVSS 8.2] : une vulnérabilité due à une validation insuffisante des entrées pourrait permettre à un utilisateur privilégié disposant d'un accès local d'exécuter du code de manière arbitraire. La vulnérabilité impacte les microprogrammes des kits Intel NUC.
  • CVE-2018-3643 [CVSS 8.2] : Une vulnérabilité dans le microprogramme du contrôleur de gestion de l'alimentation des systèmes pourrait permettre un utilisateur privilégié d'élever ses privilèges ou de divulguer des informations via un accès local. Cette vulnérabilité impacte les contrôleurs utilisant les versions d'Intel CSME (Converged Security and Management Engine) antérieures à la 12.0.6 ou les versions du microprogramme Intel Server Platform Services antérieures à la 4.x.04.
Informations
+

Risques

  • Déni de service
  • Injection de fichiers système
  • Atteinte à la confidentialité
  • Élévation de privilèges
  • Exécution de code de manière arbitraire

Criticité

  • CVSS v3 : 9.6 (Score CVSS des vulnérabilités les plus critiques)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Intel Server Board S2600WT (Grantley), S2600TP (Grantley), S2600BP (Purley), S2600WF, S2600ST
  • Intel Extreme Tuning Utility versions antérieures à 6.4.1.23.
  • Intel Driver & Support Assistant versions antérieures à 3.5.0.1
  • Intel Computing Improvement Program versions antérieures à 2.2.0.03942
  • Intel Data Migration Software versions 3.1 et antérieures
  • Intel OpenVINO Toolkit pour Windows versions 2018.1.265 et antérieures
  • Intel IoT Developers Kit versions 4.0 et antérieures
  • Intel Compute Card CD1M3128MK, CD1IV128MK, CD1P64GK
  • Intel NUC Kit NUC7CJYH, NUC8i7HNK, NUC7i7DNKE, NUC7i5DNKE, NUC7i3DNHE, NUC7i7BNH, NUC6CAYS, DE3815TYBE, NUC6i5SYH, NUC6i7KYK, NUC5PGYH, NUC5CPYH, NUC5i7RYH, NUC5i5MYHE, NUC5i3MYHE, DE3815TYBE, DN2820FYKH,  D54250WYB, D53427RKE, D33217GKE
  • Intel Compute Stick STK2mv64CC, STK2m3W64CC, STK1AW32SC, STCK1A32WFC
  • Intel Centrino Wireless-N 135, Wireless-N 2230, Advanced-N 6235, Wireless-N 130,  Wireless-N 1030, Advanced-N 6230
  • Intel Distribution pour Python 2018 téléchargé avant le 6 août 2018
  • Processeur Intel Atom C3000 Series Platform avec un microgiciel antérieure à 4.00.04.177.0
  • Processeur Intel Xeon D-2100 Family Platform avec un microgiciel antérieure à 4.00.04.077.0
  • Processeur Intel Xeon Scalable Family Platforms avec un microgiciel antérieure à 4.00.04.381.0
  • Processeur Intel C620 Series Chipset Family (PCIe End Point Mode) avec un microgiciel antérieure à 4.00.04.381.0
  • Processeur Intel QuickAssist Adapter 8960/8970 Products avec un microgiciel antérieure à 4.x.05
  • Processeur de la famille Intel Core de 6ème génération avec un microgiciel (CSME) antérieure à 11.8.55
  • Processeur de la famille Intel Core de 7ème génération avec un microgiciel (CSME) antérieure à 11.8.55
  • Processeur de la famille Intel Core de 8ème génération avec un microgiciel (CSME) antérieure à 12.0.6
  • Processeur Intel Xeon E3-1200/1500 v5 avec un microgiciel (CSME) antérieure à 11.8.55
  • Processeur Intel Xeon E3-1200/1500 v6 avec un microgiciel (CSME) antérieure à 11.8.55
  • Processeur Intel Xeon W avec un microgiciel (CSME) antérieure à 11.11.55
  • Processeur Intel Core X-Series avec un microgiciel (CSME) antérieure à 11.11.55
  • Processeur Intel Xeon Scalable avec un microgiciel (CSME) antérieure à 11.21.55
  • Intel CSME versions antérieures à 11.8.55, 11.11.55, 11.21.55, 12.0.6
  • Intel ME versions antérieures à 10.0.60, 9.5.65, 9.1.45
  • Intel Trusted Execution Engine (TXE) versions antérieures à 3.1.55, 4.0.5
  • Intel Data Center manager versions antérieures à 5.1
  • Outil de détection pour la vulnérabilité Intel-SA-00086 en version antérieure à 1.2.7.0
  • Intel Server Platform Service microgiciel antérieures à SPS_SoC-A_04.00.04.177.0, SPS_SoC-X_04.00.04.077.0, SPS_E5_04.00.04.381.0

CVE


Recommandations
+

Correctifs

  • Des correctifs ont été publiés par Intel et sont accessibles depuis les avis de sécurité respectifs (cf. la section Liens)

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.