Sicherheitsupdates fĂĽr Dell- und Lenovo-BIOS
Dell stellt aktualisierte BIOS-Versionen für einige Geräte bereit. AMI schließt mehrere Sicherheitslücken, Lenovo reicht die Korrekturen durch.
Zulieferer AMI hat eine Liste von teils kritischen Sicherheitslücken in der MegaRAC SPX-Firmware veröffentlicht. Lenovo stellt erste BIOS-Updates bereit, die diese Sicherheitslecks abdichten. Unabhängig davon verteilt auch Dell aktualisierte BIOS-Versionen – die schließen aber andere Lücken in Drittherstellersoftware.
Die von AMI herausgegebene Schwachstellenliste umfasst acht Lücken. Davon stuft der Hersteller zwei mit einem CVSS-Wert von 9.6 als kritisches Risiko ein, die sechs weiteren stellen einen hohen Bedrohungsgrad dar. Durch die gravierendsten Lücken können Angreifer aus angrenzenden Netzwerken einen Stack-basierten Pufferüberlauf im BMC auslösen, was offenbar das Einschleusen von Schadcode ermöglicht (CVE-2023-3043+CVE-2023-37293, beide CVSS 9.6, Risiko "kritisch").
BIOS-Schwachstellen: Updates von Lenovo
Lenovo hat aktualisierte BIOS-Fassungen für Maschinen der Hyperscale- und Thinksystem-Baureihen veröffentlicht, die explizit die AMI-MegaRAC-SPX-Lücken schließen – allerdings fehlt in der Auflistung die kritische Schwachstelle CVE-2023-3043. Ob die Lenovo-Geräte davon nicht betroffen sind oder die Fehlerkorrektur es bislang noch nicht in die aktualisierte Firmware geschafft hat, bleibt derzeit unklar. Folgende BIOS-Versionen enthalten die Sicherheitslücken nicht mehr: ThinkSystem HR610X V15.41, HR630X/HR650X V11.54, HR630X_V2 V1.26, HG680X SR590V2 V6.41.00, SR660V2 V6.93.00, WR5220G3 V6.47.00 sowie SR635/655 AMBT50N. Sie sind in der Sicherheitsmitteilung von Lenovo verlinkt.
DELL hingegen hat jĂĽngst BIOS-Updates herausgegeben, die SicherheitslĂĽcken in der mitgelieferten OpenSSL-Bibliothek schlieĂźen. Folgende BIOS-Updates stehen bereit: Alienware m15 R6 V1.27.0, Dell G15 5511 V1.26.0 sowie XPS 8960 V2.3.0 oder jeweils neuere Versionen. Die Links fĂĽhren auf die Treiber- und Download-Seiten zu den jeweiligen Systemen.
Veraltete BIOS-Versionen können ein Sicherheitsrisiko darstellen und es Angreifern ermöglichen oder vereinfachen, sich in Netzwerke oder Computer einzunisten. Daher sollten bereitstehende BIOS-Aktualisierungen ebenso wie bei anderen Software-Updates üblich zügig installiert werden.
(dmk)