[linux-l] INTEL-SA-00075

ni.ls ni.ls at posteo.de
Di Jun 13 15:21:50 CEST 2017 

Hallo,

On 06/13/2017 02:56 PM, Norman Steinbach wrote:
> Ich vermute, wenn Du die AMT nicht aktiv eingerichtet hast, dann ist die
> Sicherheitslücke auch nicht "offen"

Das gilt - meines Wissens nach - für die remote-ausnutzbare Lücke. Die
zweite, lokal ausnutzbare ist laut
https://www.intel.com/content/dam/support/us/en/documents/technologies/intel-active-management-technology-intel-amt/Intel-SA-00075%20Detection%20and%20Mitigation%20Guide.pdf
abhängig vom Vorhandensein des Local Manageability Services - und den
gibt es scheinbar
(https://software.intel.com/en-us/articles/download-the-latest-intel-amt-open-source-drivers/)
auch für Linux (was nicht heißt, dass man ihn installieren muss, aber
das finde ich dann doch etwas beunruhigend...).

> Früher konnte man per USB-Stick in ein DOS booten, um das BIOS usw. von
> den Thinkpads zu aktualisieren. Wie das hier aussieht, weiß ich nicht.
> Man müsste mal in die .cmd Datei reinschauen, die im Readme auf der
> Lenovo Seite erwähnt wird - .cmd Dateien unter Windows sind ja auch
> nichts weiter, als .bat Dateien, die Befehle einen nach dem anderen
> abarbeiten, sozusagen eine aller rudimentärste Primitivform eines
> Shellscripts. Wenn dann das darin aufgerufene Flash-Tool auch unter DOS
> läuft, oder alternativ das DOS-Flasher-Tool, was man für BIOS-Updates
> auf der Lenovo Seite runterladen kann (ist in den "Boot CD" Paketen
> dabei), mit der in dem Patch enthaltenen Firmware-Datei was anfangen
> kann, und weiß, wo es sie hinzuflashen hat, dann könnte es auch ohne
> Windows gehen.

Hm, das klingt für mich als Laien recht kompliziert/fehleranfällig...

> Ich habe auch 2 solcher betroffenen Rechner. Nehme aber an, dass diese,
> mangels Windows, nicht betroffen sind. Vielleicht kann ja jemand etwas
> zur Schwere dieser AMT-Sicherheitslücke unter Nicht-Windows-Systemen sagen?

Das wäre sicher auch hilfreich :)

LG,
ni.ls

> Viele Grüße,
> 
> Norman
> 
> On 13.06.2017 14:43, ni.ls wrote:
>> Hallo,
>>
>> Anfang letzten Monats wurde eine Sicherheitslücke in der Active
>> Management Technology von Intel (AMT) bekannt (siehe u.a.
>> https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr).
>>
>> Für mein ThinkPad, welches unter Manjaro/Arch läuft, gibt es von Lenovo
>> ein Update, allerdings nur für Windows.
>>
>> Besteht eine andere Möglichkeit, als für das Update Windows zu
>> installieren, oder was würdet ihr empfehlen?
>>
>> LG,
>> ni.ls
>> _______________________________________________
>> linux-l mailing list
>> linux-l at mlists.in-berlin.de
>> Die Mailingliste der BeLUG (Berliner Linux User Group)
>>
>> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
>> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
>> und trage dich dort bitte aus
>>
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
> 
> Wenn du diese Mailingliste  abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l-mlists.in-berlin.de
> und trage dich dort bitte aus

Mehr Informationen über die Mailingliste linux-l