Amazon Linux 2023 : microcode_ctl (ALAS2023-2023-055)

medium Nessus Plugin ID 173107

語系：

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2023-055 公告中所提及的多個弱點影響。

2024-06-06：已將 CVE-2021-33117 新增至此公告。

BIOS MR7 版之前的某些第三代 Intel(R) Xeon(R) 可擴充處理器存在存取控制不當問題，這使本機攻擊者可以透過本機存取權限造成資訊洩漏。
(CVE-2021-33117)

新增 (CVE-2022-0005)

在 hw 中發現一個缺陷。某些 Intel(R) Xeon(R) 處理器存在存取控制不當問題，這使經驗證的使用者可能會透過本機存取權限造成資訊洩漏。(CVE-2022-21131)

在 hw 中發現一個缺陷。某些 Intel(R) Xeon(R) 處理器存在輸入驗證不當問題，這使特權使用者可以透過本機存取權限造成程式拒絕服務。(CVE-2022-21136)

在 hw 中發現一個缺陷。某些 Intel(R) 處理器具有在處理器最佳化時會移除或修改安全關鍵性程式碼的問題，這使經驗證的使用者可能會透過本機存取權限造成資訊洩漏。(CVE-2022-21151)

在 hw 中發現一個缺陷。APIC 可在 xAPIC 模式 (亦稱為舊版模式) 下運作，在此模式下，透過記憶體對應的 I/O (MMIO) 頁面可以暴露 APIC 設定暫存器。能夠在目標 CPU 上執行程式碼的攻擊者可利用此缺陷來查詢 APIC 設定頁面。從 MMIO 頁面讀取具有未對齊讀取的 APIC 設定頁面時，暫存器可能會將相同處理器核心先前要求中的過時資料傳回至相同的設定頁面，進而導致未經授權的存取。(CVE-2022-21233)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。