solution Contentsolution Content

HP t430 和 t638 精簡型電腦 - 韌體竄改漏洞

HP 已知悉 HP t430 和 t638 精簡型電腦中的潛在安全性漏洞。這些型號可能遭受實體攻擊，允許未受信任的來源使用公開揭露的私密金鑰竄改系統韌體。HP 為客戶提供建議的指南，以減少暴露於潛在漏洞下。

嚴重性: 高
HP 參考: HPSBHF03873 修訂版 1
發行日期: 2023 年 10 月 13 日
上次更新日期: 2023 年 10 月 13 日
類別: 電腦
潛在的安全性影響: 權限提升、執行任意程式碼、阻斷服務

捲動至解決方案

接收此公告的更新

摘要

對於 2023 年 7 月之前生產的 HP t430 和 t638 精簡型電腦，由於一個私密韌體金鑰遭到揭露，這可能允許未受信任的來源竄改系統韌體。HP 尚未發現與此漏洞相關的任何作用中的攻擊，此攻擊需要實際存取系統。

HP t430 和 t638 精簡型電腦 BIOS 映像使用受到硬體安全性模組保護的尚未揭露的 HP 唯一金鑰。此 BIOS 映像金鑰可提供額外的保護，以為 BIOS 更新和正常系統使用維持完整性。

CVE ID 清單
CVE ID	CVS 3.0	向量
CVE-2023-5409	7.3	CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

解決方案

HP 建議客戶實施這些建議事項，以減輕其暴露於所發現漏洞造成的影響。

限制對裝置的實體存取：客戶應限制對其裝置的實體存取，以作為預防措施。
使用 HP 韌體更新 BIOS：客戶應僅使用 HP 或其網站直接提供的韌體更新裝置。
啟用 BIOS 管理員/設定密碼：HP 建議所有客戶為每個受影響的裝置建立一個主要管理員帳戶和密碼，此為標準實務。這有助於防止意外存取 BIOS。
在開機過程中停用 USB 連接埠：客戶應停用 USB 儲存開機功能的 BIOS 設定，以防止未經授權的使用者開機至此並安裝惡意軟體。可在 BIOS 啟動功能表中手動停用此功能；透過在 HP 裝置管理員或其他端點管理軟體中執行指令碼；或透過自訂 BIOS 韌體更新。

可能已提供較新版本，並且下方列出的最低版本可能已過時。如果 SoftPaq 連結無效，請查看 HP 客戶支援 - 軟體和驅動程式下載網站，以取得適用於您的產品機型的最新更新。

HP 建議您將系統保持使用最新版韌體及軟體。

註:

當有新的資訊和/或 SoftPaq 時，可能會更新此公告。請註冊 HP 訂閱，以取得通知並接收：

產品支援電子警示
驅動程式更新
安全性公告更新

受影響的產品

識別受影響的產品。

精簡型電腦
產品名稱	元件類型	最低版本	SoftPaq 編號	SoftPaq 連結
HP t430 精簡型電腦	N41 BIOS	00.01.13	SP148834	https://ftp.hp.com/pub/softpaq/sp148501-149000/sp148834.exe
HP t430 精簡型電腦	N44 BIOS	00.02.10	SP148835	https://ftp.hp.com/pub/softpaq/sp148501-149000/sp148835.exe
HP t638 精簡型電腦	N43 BIOS	1.14	SP149484	https://ftp.hp.com/pub/softpaq/sp149001-149500/sp149484.exe

修訂歷程記錄

本文件根據以下資訊進行修訂。

版本清單
版本	說明	日期
1	初始發行	2023 年 10 月 13 日

其他資訊

點擊這些連結，瞭解更多資訊。

協力廠商安全性修正程式: 應根據客戶的修正程式管理原則，在執行 HP 軟體產品的系統上套用要安裝的協力廠商安全性修正程式。
支援: 有關實施此安全性公告的建議的問題，請造訪 http://www.hp.com/go/contacthp 以瞭解有關 HP 支援選項的資訊。
報告: 若要通報任何 HP 支援產品的潛在安全性漏洞，請寄送電子郵件至：hp-security-alert@hp.com。
訂閱: 若要啟始訂閱以便透過電子郵件接收日後發佈的「HP 安全性公告」，請造訪 https://h41369.www4.hp.com/alerts-signup.php?lang=en&cc=US&jumpid=hpsc_profile。
安全性公告歸檔: 若要查看發佈的安全性公告，請造訪 https://support.hp.com/security-bulletins。

強烈建議使用 PGP，將提供給 HP 的安全性相關資訊加密，尤其是重要資訊。

下載 HP 安全性警示 PGP 金鑰

法律資訊

必須經常審查系統管理和安全性程序，以維護系統完整性。惠普一直不斷審查和加強軟體產品的安全性功能，為客戶提供最新的安全解決方案。

惠普正廣泛散佈本「安全性公告」，請受影響的惠普產品使用者注意本「安全性公告」內含的重要安全性資訊。惠普建議所有使用者判斷此資訊對其各自情況的適用性，並採取適當動作。惠普不保證此資訊對於所有使用者的情況均為準確或完整，因此，對於使用者因使用或忽視本「安全性公告」提供的資訊所造成的任何損害，惠普概不負責。在法律許可的範圍內，惠普不提供所有明示或默示之擔保，包括適售性、符合特定用途、所有權及不侵權之擔保。

HP Inc. (HP) 對於本文件在技術上或編輯上所含的錯誤或疏漏概不負責。提供之資訊係以「現況」提供，恕不提供任何形式的保證。在法律許可的範圍內，惠普及其關係企業、轉包商或供應商對於偶發、特殊或連帶損害，包括停機成本；利潤損失；與購買替代產品或服務有關的損壞；或資料丟失或軟體恢復造成的損壞，概不負責。本文件中的資料如有更改，恕不另行通知。本文件所提及之「HP Inc.」、「HP」和惠普產品名稱是 HP Inc. 或其關係企業在美國及其他國家/地區的商標。本文件所提及之其他產品和公司名稱可能為各擁有人所有之商標。