关键漏洞信息 漏洞ID INTEL-SA-01309 影响类别 固件 漏洞影响 权限提升、信息泄露 安全评级 中等 发布日期 2023年5月17日 最后更新 2023年5月17日 漏洞详情 CVE-2023-20082: UEFI固件SimVariable驱动程序中的时间检查竞争条件可能导致权限提升或信息泄露。 CVE-2023-24306: UEFI固件错误处理程序中的输入验证不足可能导致本地权限提升。 CVE-2023-21904: UEFI固件DKE模块中的输入验证不足可能导致本地权限提升。 CVE-2023-20084: 备份Bootloader UEFI固件SimVariable驱动程序中的输入验证不足可能导致本地信息泄露。 CVE-2023-20085: UEFI固件GeneratorSetup模块中的输入验证不足可能导致本地权限提升。 CVE-2023-21100: UEFI固件中的输入验证不足可能导致本地信息泄露。 受影响产品 Intel® Server Board D50DNP和M50FCP,使用R01之前的UEFI固件版本。 建议 Intel建议将Intel® Server Board D50DNP和M50FCP的UEFI固件更新到R01.02.0000或更高版本。 更新可在以下位置获取: - D50DNP - M50FCP 相关内容 此前披露的CVE作为IPU发布的一部分,并影响列出的平台: 1. INTEL-SA-01291: CVE-2023-20239 2. INTEL-SA-0139: CVE-2024-2647, CVE-2024-31157 3. INTEL-SA-0138: CVE-2024-2648, CVE-2024-31155 致谢 Intel感谢Eason Liu报告这些问题。