ASA-2018-00049 – Lenovo: Ausência do bit de bloqueio de proteção de escrita da memória flash no System x


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00049

Identificador(es)

ASA-2018-00049, CVE-2018-9085, LEN-24477

Título

Ausência do bit de bloqueio de proteção de escrita da memória flash no System x

Fabricante(s)

Lenovo

Produto(s)

System x – Lenovo

System x (IBM)

Versões afetadas


Flex System x240 M4

Flex System x440 M4

System x3750 M4

BladeCenter HS23

BladeCenter HS23E

Flex System x220 M4

Flex System x222 M4

Flex System x240 M4

Flex System x280

Flex System x440 M4

Flex System x480 X6

Flex System x880

iDataPlex dx360 M4

iDataPlex dx360 M4 Water Cooled

NeXtScale nx360 M4

System x3100 M4

System x3100 M5

System x3250 M4

System x3250 M5

System x3300 M4

System x3500 M4

System x3530 M4

System x3550 M4

System x3630 M4

System x3650 M4

System x3650 M4 BD

System x3650 M4 HD

System x3750 M4

System x3850 X6

System x3950 X6

Versões corrigidas


Flex System x240 M4 A3E122B

Flex System x440 M4 CGE122B

System x3750 M4 A5E124B

BladeCenter HS23 tke160c

BladeCenter HS23E ahe160c

Flex System x220 M4 kse158c

Flex System x222 M4 cce160c

Flex System x240 M4 ahe160c

Flex System x280 n3e132w

Flex System x440 M4 cne162d

Flex System x480 X6 n3e132w

Flex System x880 n2e130e

iDataPlex dx360 M4 fhe120d

iDataPlex dx360 M4 Water Cooled fhe120d

NeXtScale nx360 M4 fhe120d

System x3100 M4 jqe184c

System x3100 M5 j9e134c

System x3250 M4 jqe184c

System x3250 M5 jue134c

System x3300 M4 yae156c

System x3500 M4 y5e158c

System x3530 M4 bee164c

System x3550 M4 D7E166D

System x3630 M4 VVE162C

System x3650 M4 vve160c

System x3650 M4 BD vve160c

System x3650 M4 HD vve160c

System x3750 M4 koe160c

System x3850 X6 a8e128c

System x3950 X6 bee164c

Prova de conceito

Desconhecido

Descrição

O bloqueio do bit de proteção de escrita não foi atribuído após a inicialização em gerações mais antigas do servidor System x, potencialmente permitindo que um atacante com acesso administrativos possa modificar uma parte da memória flash contendo os descritores do Intel Server Platform Services (SPS) e a flash do sistema. Firmwares de outros sistemas continuam protegido e não modificável tais como UEFI (BIOS) e IMM2.

Créditos

Desconhecido

Referência(s)

LEN-24477
https://support.lenovo.com/br/en/solutions/LEN-24477

CVE-2018-9085
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9085

CVE-2018-9085
https://nvd.nist.gov/vuln/detail/CVE-2018-9085

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 19 de novembro de 2018