Amazon Linux 2023：microcode_ctl (ALAS2023-2023-055)

medium Nessus 插件 ID 173107

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，它受到 ALAS2023-2023-055 公告中提及的多个漏洞影响。

2024-06-06：已将 CVE-2021-33117 添加到此公告中。

BIOS MR7 版本之前的某些第三代 Intel(R) Xeon(R) 可扩展处理器中存在访问控制不正确问题，本地攻击者可能利用此问题，通过本地访问造成信息泄露。
(CVE-2021-33117)

添加 (CVE-2022-0005)

在 hw 中发现了一个缺陷。某些 Intel(R) Xeon(R) 处理器中存在访问控制不正确问题，未经认证的用户可能会利用此问题，通过本地访问造成信息泄露。(CVE-2022-21131)

在 hw 中发现了一个缺陷。某些 Intel(R) Xeon(R) 处理器中存在不正确的输入验证，特权用户可能通过本地访问发起拒绝服务攻击。(CVE-2022-21136)

在 hw 中发现了一个缺陷。某些 Intel(R) 处理器会有在处理器优化中移除或修改安全关键性代码的问题，经过身份验证的用户可能会利用此问题，通过本地访问造成信息泄露。(CVE-2022-21151)

在 hw 中发现了一个缺陷。APIC 可在 xAPIC 模式（又称为传统模式）下运行，在该模式下，系统会通过内存映射的 I/O (MMIO) 页面暴露 APIC 配置寄存器。如果攻击者能够在目标 CPU 上执行代码，他们可以利用此缺陷查询 APIC 配置页面。如果通过从 MMIO 页面执行未对齐读取来读取 APIC 配置页面，寄存器可能会返回之前请求（由同一处理器核心向同一配置页面发出）中的过时数据，从而导致未经授权的访问。(CVE-2022-21233)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。