レノボ セキュリティ アドバイザリ: LEN-118374

潜在的影響: 情報漏えい、特権昇格

重要度:  高

影響範囲: 業界全体

CVE ID: CVE-2023-1017, CVE-2023-1018

概要:

Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、情報漏洩や権限昇格の可能性がある以下のような脆弱性が確認されました。

CVE-2023-1017: Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、out of bounds writeの脆弱性が確認されています。

CVE-2023-1018: Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、out of bounds readの脆弱性があることが確認されています。

メモ: Nuvoton は、CVE-2023-1017 の悪用に成功した攻撃者が、Nuvoton NPCT65x TPM のサービス拒否につながる可能性があることを報告しました。Nuvoton SA-003 の影響を受ける Lenovo 製品への影響については、LEN-118320 を参照してください。

お客様による対策:

ThinkAgile のお客様:

            Nutanixソフトウェアについては、 https://www.nutanix.com/trust/security-advisories を参照し、リスクへの曝露、解決および軽減策について確認してください。

            VMware のソフトウェアとアプライアンスについては、https://www.vmware.com/security/advisories.html を参照し、リスクへの曝露、解決および軽減策について確認してください。

Nuvoton-SA-003 の影響を受ける製品については、LEN-118320 を参照して必要な更新を行ってください。

Lenovoでは、影響を受ける他の製品を確認していません。

その他情報および引用:

https://kb.cert.org/vuls/id/782720

https://support.lenovo.com/jp/ja/product_security/LEN-118320

https://www.nuvoton.com/support/security/security-advisories/sa-003/

https://www.nutanix.com/trust/security-advisories

https://www.vmware.com/security/advisories.html

編集履歴:

セキュリティアドバイザリの一覧は、こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。