TPM 2.0の脆弱性

TPM 2.0の脆弱性

TPM 2.0の脆弱性

レノボ セキュリティ アドバイザリ: LEN-118374

潜在的影響: 情報漏えい、特権昇格

重要度: 

影響範囲: 業界全体

CVE ID: CVE-2023-1017, CVE-2023-1018

 

概要:

Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、情報漏洩や権限昇格の可能性がある以下のような脆弱性が確認されました。

CVE-2023-1017: Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、out of bounds writeの脆弱性が確認されています。

CVE-2023-1018: Trusted Computing Groupが公開しているTPM 2.0のリファレンス実装コードに、out of bounds readの脆弱性があることが確認されています。

メモ: Nuvoton は、CVE-2023-1017 の悪用に成功した攻撃者が、Nuvoton NPCT65x TPM のサービス拒否につながる可能性があることを報告しました。Nuvoton SA-003 の影響を受ける Lenovo 製品への影響については、LEN-118320 を参照してください。

 

お客様による対策:

ThinkAgile のお客様:

            Nutanixソフトウェアについては、 https://www.nutanix.com/trust/security-advisories を参照し、リスクへの曝露、解決および軽減策について確認してください。

            VMware のソフトウェアとアプライアンスについては、https://www.vmware.com/security/advisories.html を参照し、リスクへの曝露、解決および軽減策について確認してください。

Nuvoton-SA-003 の影響を受ける製品については、LEN-118320 を参照して必要な更新を行ってください。

Lenovoでは、影響を受ける他の製品を確認していません。

 

その他情報および引用:

https://kb.cert.org/vuls/id/782720

https://support.lenovo.com/jp/ja/product_security/LEN-118320

https://www.nuvoton.com/support/security/security-advisories/sa-003/

https://www.nutanix.com/trust/security-advisories

https://www.vmware.com/security/advisories.html

 

編集履歴:

リビジョン 日付 説明
3 2023年03月07日 リンクエラーの修正
2 2023年03月01日 リンクエラーの修正 
1 2023年02月28日 新規作成

セキュリティアドバイザリの一覧は、こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。


エイリアス番号:LEN-118374
ドキュメント ID:PS500551
リリース日:2023年03月02日
最終更新日:2023年03月09日