16 de noviembre de 2019

INTEL. Múltiples vulnerabilidades en productos de la firma

Intel ha publicado 12 avisos de seguridad en su centro de seguridad de productos, 2 de severidad crítica, 8 de severidad alta y 2 de severidad media. Estas vulnerabilidades también afectan a otros fabricantes que utilizan componentes de Intel en sus propios productos, catalogadas de  Importancia: 5 - Crítica
Recursos afectados:
1)   Intel Core:
a)   desde la 2ª, hasta la 10ª generación de procesadores;
b)   familia m;
c)    familia X-series.
2)   Intel Pentium serie Gold;
3)   Intel Celeron:
a)   serie G;
b)   serie 5000.
4)   Intel Xeon:
a)   Scalable;
b)   familia E;
c)    familia D;
d)   familia W;
e)   legacy.
5)   Intel Atom serie C;
6)   Intel Converged Security and Manageability Engine (CSME), Intel Active Management Technology (AMT), Intel Dynamic Application Loader (DAL) e Intel DAL software:
a)   desde 11.0, hasta 11.8.65;
b)   desde 11.10, hasta 11.11.65;
c)    desde 11.20, hasta 11.22.65;
d)   desde 12.0, hasta 12.0.35;
e)   13.0.0;
f)    14.0.0.
7)   Intel SPS:
a)   desde SPS_E5_04.00.03.199.0, hasta SPS_E5_04.00.04.380.0;
b)   desde SPS_SoC-X_04.00.04.051.0, hasta SPS_SoC-X_04.00.04.085.0;
c)    desde SPS_SoC-A_04.00.03.065.0, hasta SPS_SoC-A_04.00.04.180.0;
d)   desde SPS_E3_04.01.03.021.0, hasta SPS_E3_04.01.04.053.0.
8)   Intel Trusted Execution Engine (TXE):
a)   desde 3.0, hasta 3.1.65;
b)   desde 4.0, hasta 4.0.15.
9)   Intel Ethernet 700 Series Controller:
a)   versión de firmware anterior a 7.0;
b)   versión de software anterior a 24.0.
Intel WIFI Drivers e Intel PROSet/Wireless WiFi Software, versiones anteriores a 21.40 para los siguientes productos:
Ø  Intel Wi-Fi 6 AX201 y AX200;
Ø  Intel Wireless-AC 9560, 9462, 9461 y 9260;
Ø  Intel Dual Band Wireless-AC 8265, 8260 y 3168;
Ø  familia Intel Wireless 7265 (Rev D);
Ø  Intel Dual Band Wireless-AC 3165.
v  Intel SGX SDK para Windows, versiones:
Ø  2.4.100.51291 y anteriores;
Ø  2.3.101.50222;
Ø  2.3.100.49777.
v  Intel SGX SDK para Linux, versiones:
Ø  2.6.100.51363 y anteriores;
Ø  2.5.100.49891;
Ø  2.4.100.48163;
Ø  2.3.100.46354;
Ø  2.2.100.45311.
10) Intel Server Boards, versiones: BBS2600BPB, BBS2600BPQ, BBS2600BPS, BBS2600BPBR, BBS2600BPQR, BBS2600BPSR, S2600WF0, S2600WFQ, S2600WFT, S2600WF0R, S2600WFQR, S2600WFTR, S2600STB, S2600STQ, S2600STBR, S2600STQR, BBS2600STB, BBS2600STQ, BBS2600STBR y BBS2600STQR;
11) Intel Compute Modules, versiones: HNS2600BPB, HNS2600BPQ, HNS2600BPS, HNS2600BPB24, HNS2600BPQ24, HNS2600BPS24, HNS2600BPBLC, HNS2600BPBLC24, HNS2600BPBR, HNS2600BPBRX, HPCHNS2600BPBR, HNS2600BPQR, HPCHNS2600BPQR, HNS2600BPSR, HPCHNS2600BPSR, HNS2600BPB24R, HNS2600BPB24RX, HNS2600BPQ24R, HNS2600BPS24R, HNS2600BPBLCR, HNS2600BPBLC24R, S9256WK1HLC, S9248WK1HLC, S9232WK1HLC, S9248WK2HLC, S9232WK2HLC, S9248WK2HAC y S9232WK2HAC;
12) Intel Server Systems, versiones: R1304WF0YS, R1304WFTYS, R1208WFTYS, R2308WFTZS, R2208WF0ZS, R2208WFTZS, R2208WFQZS, R2312WF0NP, R2312WFTZS, R2312WFQZS, R2224WFQZS, R2224WFTZS, R1208WFTYSR, HPCR1208WFTYSR, R1304WF0YSR, HPCR1304WF0YSR, R1304WFTYSR, HPCR1304WFTYSR, R2208WFTZSR, R2208WFTZSRX, HPCR2208WFTZSR, HPCR2208WFTZSRX, R2208WF0ZSR, HPCR2208WF0ZSR, R2224WFTZSR, HPCR2224WFTZSR, R2308WFTZSR, HPCR2308WFTZSR, R2312WFTZSR, HPCR2312WFTZSR, R2312WF0NPR, HPCR2312WF0NPR, R2208WFQZSR, HPCR2208WFQZSR, R1208WFQYSR y HPCR1208WFQYSR.
13) Estas vulnerabilidades afectan a fabricantes como:
14) Xen: sistemas que estén ejecutando todas las versiones de Xen (procesadores x86 basados en Intel);
15) Citrix
a)   Citrix Hypervisor, versión 8.0 y anteriores;
b)   Citrix ADC y Citrix Gateway, las siguientes series MPX/SDX:
i)     8900;
ii)    14000-40G/14000-40S/14000-40C;
iii)  15000-25G/15000-50G;
iv)  25000-40G;
v)   26000/26000-50G.
16) Dell: Dell EMC Servers y Dell EMC Networking Virtual Edge Platform 4600 (VEP 4600).
Recomendación
Actualizar a la última versión del producto. https://downloadcenter.intel.com/
Detalle de vulnerabilidades corregidas
Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:
·       denegación de servicio;
·       escalada de privilegios;
·       divulgación de información.
Se han reservado los siguientes identificadores: CVE-2018-12207, CVE-2019-0123, CVE-2019-0124, CVE-2019-0152, CVE-2019-0151, CVE-2019-0169, CVE-2019-11132, CVE-2019-11147, CVE-2019-11105, CVE-2019-11088, CVE-2019-11131, CVE-2019-11104, CVE-2019-11097, CVE-2019-11103, CVE-2019-0131, CVE-2019-11090, CVE-2019-0165, CVE-2019-0166, CVE-2019-0168, CVE-2019-11087, CVE-2019-11101, CVE-2019-11100, CVE-2019-11102, CVE-2019-11106, CVE-2019-11107, CVE-2019-11109, CVE-2019-11110, CVE-2019-11086, CVE-2019-11108, CVE-2019-11112, CVE-2019-0155, CVE-2019-11111, CVE-2019-14574, CVE-2019-14590, CVE-2019-14591, CVE-2019-11089, CVE-2019-11113, CVE-2019-0140, CVE-2019-0145, CVE-2019-0142, CVE-2019-0139, CVE-2019-0143, CVE-2019-0144, CVE-2019-0146, CVE-2019-0147, CVE-2019-0148, CVE-2019-0149, CVE-2019-0150, CVE-2019-11135, CVE-2019-11136, CVE-2019-11137, CVE-2019-11151, CVE-2019-11152, CVE-2019-11153, CVE-2019-11154, CVE-2019-11155, CVE-2019-11156, CVE-2019-14566, CVE-2019-14565, CVE-2019-11168, CVE-2019-11170, CVE-2019-11171, CVE-2019-11172, CVE-2019-11173, CVE-2019-11174, CVE-2019-11175, CVE-2019-11177, CVE-2019-11178, CVE-2019-11179, CVE-2019-11180, CVE-2019-11181 y CVE-2019-11182.
Más información
Fuente: HISPASEC

Publicado por en
Etiquetas: