Vulnerabilidad en SMM BIOS Write Protection de Lenovo (CVE-2019-6156)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/04/2019

Última modificación:

24/08/2020

Descripción

En los sistemas Lenovo, SMM BIOS Write Protection se utiliza para evitar la escritura en SPI Flash. Mientras que esto proporciona suficiente protección, una capa adicional de protección es proporcionada por los Registros de Rango Protegido SPI (PRx). Se notificó a Lenovo que después de reanudar el modo de suspensión S3 en varias versiones de la BIOS para sistemas Lenovo, el PRx no está configurado. Esto no afecta a la protección contra escritura de la BIOS SMM, que mantiene los sistemas protegidos.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.30

Gravedad 3.x

BAJA

Vector 2.0

AV:L/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: AV:L/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

2.10

Gravedad 2.0

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:lenovo:510-15ikl_firmware:-:::::::*
cpe:2.3:h:lenovo:510-15ikl:-:::::::*
cpe:2.3:o:lenovo:510s-08ikl_firmware:-:::::::*
cpe:2.3:h:lenovo:510s-08ikl:-:::::::*
cpe:2.3:o:lenovo:ideacentre_300-20ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_300-20ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_300s-11ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_300s-11ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510-15icb_firmware::::::::		o3qkt32a (excluyendo)
cpe:2.3:h:lenovo:ideacentre_510-15icb:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510a-15icb_firmware::::::::		o3qkt32a (excluyendo)
cpe:2.3:h:lenovo:ideacentre_510a-15icb:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510s-08ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_510s-08ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_620s-03ikl_firmware:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://support.lenovo.com/solutions/LEN-26332

CPE	Desde	Hasta
cpe:2.3:o:lenovo:510-15ikl_firmware:-:::::::*
cpe:2.3:h:lenovo:510-15ikl:-:::::::*
cpe:2.3:o:lenovo:510s-08ikl_firmware:-:::::::*
cpe:2.3:h:lenovo:510s-08ikl:-:::::::*
cpe:2.3:o:lenovo:ideacentre_300-20ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_300-20ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_300s-11ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_300s-11ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510-15icb_firmware::::::::		o3qkt32a (excluyendo)
cpe:2.3:h:lenovo:ideacentre_510-15icb:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510a-15icb_firmware::::::::		o3qkt32a (excluyendo)
cpe:2.3:h:lenovo:ideacentre_510a-15icb:-:::::::*
cpe:2.3:o:lenovo:ideacentre_510s-08ish_firmware:-:::::::*
cpe:2.3:h:lenovo:ideacentre_510s-08ish:-:::::::*
cpe:2.3:o:lenovo:ideacentre_620s-03ikl_firmware:-:::::::*