Debian dla-4170intel-microcode - 安全性更新

medium Nessus Plugin ID 236930

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機安裝了一個受到 dla-4170 公告中提及的多個弱點影響的套件。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4170-1 [email protected] https://www.debian.org/lts/security/Tobias Frost 2025 年 5 月 18 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件 intel-microcode 版本 3.20250512.1~deb11u1 CVE ID CVE-2024-28956 CVE-2024-43420 CVE-2024-45332 CVE-2025-20012 CVE-2025-20054 CVE-2025-20103 CVE-2025-20623 CVE-2025-24495 Debian 錯誤 1105172

現已發布適用於 Intel(R) 處理器的 Microcode 更新可解決多個可能允許拒絕服務或資訊洩漏的弱點。

CVE-2024-28956

在某些 Intel(R) 處理器的暫時執行期間共用微架構結構中的敏感資訊洩漏可能會讓經驗證的使用者透過本機存取而洩漏資訊。

CVE-2024-43420

因共用微架構預測器狀態會影響某些 Intel Atom(R) 處理器的暫時執行而導致敏感資訊洩漏可能會讓經驗證的使用者透過本機存取而洩漏資訊。

CVE-2024-45332

因共用微架構預測器狀態會影響某些 Intel(R) 處理器間接分支預測器的暫時執行而導致敏感資訊洩漏可能會讓經驗證的使用者透過本機存取而洩漏資訊。

CVE-2025-20012

某些 Intel(R) Core Ultra 處理器的不正確行為順序可能會讓未經驗證的使用者透過實體存取而洩漏資訊。

CVE-2025-20054

在某些 Intel(R) 處理器的核心管理機制中未攔截到的例外狀況可能允許經驗證的使用者透過本機存取造成拒絕服務。

CVE-2025-20103

某些 Intel(R) 處理器的核心管理機制中的資源集區不足可能允許經驗證的使用者透過本機存取造成拒絕服務。

CVE-2025-20623

共用微架構預測器狀態會影響某些 Intel(R) Core 處理器 (第 10 代) 的暫時性執行而造成敏感資訊洩漏經驗證的使用者可能藉此透過本機存取造成資訊洩漏。

CVE-2025-24495

未正確初始化某些 Intel(R) Core Ultra 處理器的分支預測單元中的資源經驗證的使用者可能透過本機存取而導致資訊洩漏。

針對 Debian 11 bullseye，已在 3.20250512.1~deb11u1 版本中修正這些問題。

建議您升級 intel-microcode 套件。

如需有關 intel-microcode 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/intel-microcode

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。