Élévation de privilège/Divulgation d'informations.
Signalé par : F-Secure, Google
SUPPORT COMMUNICATION- BULLETIN DE SÉCURITÉ
Identifiant du document: c05888642
Version: 2
HPSBHF03576 rév. 3 - Bypass MEBx chez Intel AMT
REMARQUE : Les informations de ce bulletin de sécurité doivent être suivies dès que possible.
Date de publication : 18-Jan-2018
Dernière mise à jour : 05-Jul-2018
Les plateformes Intel® vPro™ non-approvisionnées équipées d'Intel® Active Management Technology (Intel® AMT) sont vulnérables à un approvisionnement local non-autorisé par accès physique. Cette attaque accède au menu MEBx (
Management Engine BIOS Extensions) grâce au mot de passe par défaut de MEBx. Lorsque l'appareil est expédié ou si la pile bouton est retirée, MEBx utilise le mot de passe par défaut.
Veuillez noter qu'Intel® AMT doit être activé pour permettre tout approvisionnement.
Pour les SKU non-vPro™, Intel® AMT n'est pas pris en charge, par conséquent le système n'est pas affecté.
PSR-2017-0115
Consultez la section de RÉSOLUTION pour les produits concernés.
Pour obtenir une version signée PGP de ce bulletin de sécurité, veuillez écrire à :
hp-security-alert@hp.com.
Mesures de base CVSS 3.0
|
Référence
|
Vecteur de base
|
Score de base
|
|
N/D
|
CVSSv3 : AV:P/AC:L/PR:H/UI:R/S:C/C:N/I:H/A:H
|
4.5
|
Ce bulletin sera actualisé ; revenez régulièrement pour connaître les mises à jour.
Les plateformes suivantes sont équipées d'un BIOS mis à jour qui protège le menu MEBx lors de la création du mot de passe administrateur pour le BIOS. L'accès au menu MEBx nécessitera un mot de passe administrateur pour le BIOS lors de la création de l'administrateur du BIOS. HP recommande fortement de configurer un mot de passe administrateur pour le BIOS.
RÉDUCTION DES RISQUES
Pour les plateformes ne disposant pas d'un BIOS mis à jour, HP conseille vivement de procéder comme suit :
-
Ne gardez pas le mot de passe par défaut de MEBx.
-
Définissez un mot de passe administrateur pour le BIOS.
-
Ajoutez un mot de passe de mise sous tension dans le BIOS via F10. La présence d'un tel mot de passe nécessitera la présence physique de l'utilisateur avant le démarrage complet du système. Il empêchera également tout accès indésirable à MEBx.
-
Vérifiez l'approvisionnement USB dans F10 afin de vérifier qu'il est désactivé dans le BIOS système.
|
Nom du produit
|
Version(s) corrigée(s)
|
N° du SoftPaq
|
Lien vers le SoftPaq
|
|
HP Elite Slice
|
2.16
|
SP87327
| |
|
Tablette HP Elite x2 1011 G1
|
1.22
|
SP87489
| |
|
HP Elite x2 1012 G1
|
1.3
|
SP87110
| |
|
Tablette HP Elite x2 1012 G2
|
1.16
|
SP87225
| |
|
HP EliteBook 1030 G1
|
1.16
|
SP87223
| |
|
HP EliteBook 1040 G3
|
1.22
|
SP87196
| |
|
HP EliteBook 1040 G4
|
1.18
|
SP87429
| |
|
Ordinateur portable HP EliteBook 2170p
|
F.69
|
SP87506
| |
|
Ordinateur portable HP EliteBook 2570p
|
F.70
|
SP87504
| |
|
Ordinateur portable HP EliteBook 720 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 720 G2
|
1.25
|
SP87488
| |
|
Ordinateur portable HP EliteBook 740 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 740 G2
|
1.25
|
SP87488
| |
|
Ordinateur portable HP EliteBook 750 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 750 G2
|
1.25
|
SP87488
| |
|
Ordinateur portable HP EliteBook 820 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 820 G2
|
1.25
|
SP87488
| |
|
HP EliteBook 820/840/848 G4 ; ZBook 15u G4
|
1.16
|
SP87115
| |
|
Ordinateur portable HP EliteBook 840 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 840 G2
|
1.25
|
SP87488
| |
|
HP EliteBook 840/848/850 G3, 820/828 G3
|
1.25
|
SP87117
| |
|
Ordinateur portable HP EliteBook 8470p
|
F.71
|
SP87467
| |
|
Station de travail mobile HP EliteBook 8470w
|
F.71
|
SP87467
| |
|
Ordinateur portable HP EliteBook 850 G1
|
1.44
|
SP87482
| |
|
Ordinateur portable HP EliteBook 850 G2
|
1.25
|
SP87488
| |
|
Ordinateur portable HP EliteBook 8570p
|
F.71
|
SP87467
| |
|
Station de travail mobile HP EliteBook 8570w
|
F.68
|
SP87465
| |
|
Station de travail mobile HP EliteBook 8770w
|
F.68
|
SP87465
| |
|
Ordinateur portable HP EliteBook Folio 1020 G1/Special
|
1.2
|
SP87493
| |
|
Ordinateur portable HP EliteBook Folio 1040 G1
|
1.4
|
SP87484
| |
|
Ordinateur portable HP EliteBook Folio 1040 G2
|
1.13
|
SP87490
| |
|
Ordinateur portable HP EliteBook Folio 9470m
|
F.70
|
SP87466
| |
|
Ordinateur portable HP EliteBook Folio 9480m
|
1.43
|
SP87494
| |
|
HP EliteBook Folio G1
|
1.22
|
SP87111
| |
|
HP EliteBook Revolve 810 G1
|
F.70
|
SP87469
| |
|
HP EliteBook Revolve 810 G2
|
1.41
|
SP87485
| |
|
HP EliteBook Revolve 810 G3
|
1.15
|
SP87495
| |
|
HP EliteBook x360 1020 G2
|
1.17
|
SP87190
| |
|
HP EliteBook x360 1030 G2
|
1.19
|
SP87758
| |
|
HP EliteDesk 800 G2
|
2.29
|
SP87215
| |
|
Mini-ordinateur de bureau HP EliteDesk 800 G3
|
02.16/01.26
|
SP87254
| |
|
HP EliteDesk 800 G3 format microtour/faible encombrement
|
02.16/01.26
|
SP87228
| |
|
HP EliteDesk Mini 800 G2
|
2.33
|
SP87247
| |
|
Ordinateur tout-en-un HP EliteOne 1000 G1
|
02.16/01.26
|
SP87269
| |
|
HP EliteOne 800 G2
|
2.29
|
SP87241
| |
|
Tout-en-un HP EliteOne 800 G3
|
02.16/01.26
|
SP87251
| |
|
Système pour point de vente HP ElitePOS G1
|
2.16
|
SP87272
| |
|
Tablette HP Pro x2 612 G1
|
1.45
|
SP87476
| |
|
HP Pro x2 612 G2
|
1.15
|
SP87236
| |
|
Ordinateur portable HP ProBook 640 G1
|
1.44
|
SP87503
| |
|
HP ProBook 640/650 G2
|
1.19
|
SP87217
| |
|
HP ProBook 640/650 G3
|
1.19
|
SP87183
| |
|
Ordinateur portable HP ProBook 6470b
|
F.71
|
SP87467
| |
|
Ordinateur portable HP ProBook 650 G1
|
1.44
|
SP87503
| |
|
HP ProBook 650 G3
|
1.19
|
SP87183
| |
|
Ordinateur portable HP ProBook 6570b
|
F.71
|
SP87467
| |
|
HP ProBook x360 11 G2
|
1.16
|
SP87186
| |
|
Mini-ordinateur de bureau HP ProDesk 600 G2
|
2.28
|
SP87248
| |
|
HP ProDesk 600 G2 format microtour/faible encombrement
|
2.29
|
SP87220
| |
|
Mini-ordinateur de bureau HP ProDesk 600 G3
|
02.16/01.26
|
SP87255
| |
|
HP ProDesk 600 G3 format microtour
|
02.16/01.26
|
SP87230
| |
|
HP ProDesk 600 G3 à faible encombrement
|
02.16/01.26
|
SP87242
| |
|
HP ProOne 600 G2
|
2.27
|
SP87244
| |
|
Tout-en-un HP ProOne 600 G3
|
02.16/01.26
|
SP87252
| |
|
Système pour point de vente HP RP9 G1
|
2.19
|
SP87271
| |
|
Système pour point de vente HP RP9 G1 (KBL)
|
2.19
|
SP87271
| |
|
Station de travail mobile HP ZBook 14 G1
|
1.44
|
SP87482
| |
|
Station de travail mobile HP ZBook 14 G2
|
1.25
|
SP87488
| |
|
Station de travail mobile HP ZBook 15 G2
|
1.21
|
SP87486
| |
|
Station de travail mobile HP ZBook 15
|
1.41
|
SP87481
| |
|
Station de travail mobile HP ZBook 15u G1
|
1.44
|
SP87482
| |
|
Station de travail mobile HP ZBook 15u G2
|
1.25
|
SP87488
| |
|
Station de travail mobile HP ZBook 17 G2
|
1.21
|
SP87486
| |
|
Station de travail mobile HP ZBook 17
|
1.41
|
SP87481
| |
|
HP ZBook 17/15 G3
|
1.25
|
SP87193
| |
|
HP ZBook Studio G3
|
1.26
|
SP87194
| |
|
HP ZBook Studio G4
|
1.18
|
SP87189
|
...
Correctifs de sécurité tiers : Les correctifs de sécurité tiers qui doivent être installés sur les systèmes exécutant des produits logiciels HP doivent être appliqués conformément à la politique de gestion des correctifs du client.
Assistance : Pour résoudre les problèmes relatifs à la mise en œuvre des recommandations fournies dans ce bulletin de sécurité, consultez le site
http://www.hp.com/go/contacthp pour en savoir plus sur vos options d'assistance HP.
Rapport : Pour faire part d'une faille potentielle dans la sécurité d'un produit pris en charge par HP, envoyez un e-mail à l'adresse :
hp-security-alert@hp.com.
Abonnement : Pour vous inscrire et recevoir les prochains bulletins de sécurité de HP par e-mail, rendez-vous sur
https://h41369.www4.hp.com/alerts-signup.php?country=FR&language=F.
Archivage des bulletins de sécurité : Pour afficher les bulletins de sécurité publiés, recherchez "bulletin de sécurité" sur le
site d'assistance HP.
Catégorie du produit logiciel : La catégorie du produit logiciel est représentée dans le titre par les deux caractères qui suivent HPSB.
|
PI
|
Impression et imagerie HP
|
|
HF
|
Matériel et micrologiciel HP
|
|
GN
|
Logiciel général HP
|
Il est fortement recommandé de chiffrer toute communication d'informations relatives à la sécurité à HP à l'aide de PGP, en particulier s'il s'agit d'informations liées aux vulnérabilités.
Pour obtenir la clé de sécurité-alerte PGP, veuillez envoyer un e-mail comme suit :
Objet : get key
Les procédures de gestion de systèmes et de sécurité doivent être consultées régulièrement pour garantir l'intégrité du système. HP améliore constamment les fonctions de sécurité des produits logiciels pour offrir des solutions à jour en termes de sécurité.
"HP diffuse largement ce bulletin de sécurité afin d'attirer l'attention des utilisateurs sur les produits HP concernés par les informations de sécurité contenues dans ce bulletin. HP recommande à tous les utilisateurs de déterminer l'applicabilité de ces informations selon leur situation et de prendre les mesures appropriées. HP ne garantit pas l'exactitude et l'exhaustivité de ces informations pour toutes les situations d'utilisateurs et, en conséquence, HP ne saurait être tenue responsable de tout dommage résultant de l'utilisation ou du non-respect des informations fournies dans ce bulletin. Dans les limites prévues par la loi, HP décline toute garantie, expresse ou implicite, dont les garanties de qualité marchande et d'adaptation à un objectif donné, un titre ou une contrefaçon."
HISTORIQUE DE RÉVISION :
Version 1 : 18 janvier 2018, publication initiale ; Version 2 : 21 mai 2018, ajout de la liste des plateformes et de la section Réduction des risques ; Version 3 : 5 juillet 2018, mise à jour de la liste des plateformes.
© Copyright 2023 HP Development Company, L.P.
HP Inc. décline toute responsabilité en cas d’erreurs ou d’omissions de nature technique ou rédactionnelle dans le présent document. Les informations sont fournies "tel quel" sans aucune garantie. Dans les limites autorisées par la loi, HP, ses affiliés,sous-traitants ou fournisseurs ne sauraient être tenus responsables de tout dommage accidentel, spécial ou conséquent, dont les frais liés aux temps d'arrêt, à la perte de profits, de dommages liés à la fourniture de services ou de produits d'échange ou de dommages liés à des pertes de données ou une restauration logicielle. Les informations contenues dans le présent document peuvent être modifiées sans préavis. HP Inc. et les noms des produits HP référencés ici sont des marques déposées de HP Inc. aux États-Unis et dans d'autres pays. Tous les produits mentionnés dans le présent document peuvent être des marques et/ou des marques déposées de leurs sociétés respectives.
Options d'assistance supplémentaires
Saisir une rubrique dans notre bibliothèque de connaissances
En quoi pouvons-nous vous aider ?
Besoin d'aide ?