а вот это откуда напрямую следует? потому что у интела процедура наличия vpro и прочего прямо завязана на винду и установленный софт. и если типа нет -- то и ладушки.
я честно не знаю. все что я видел - на idc когда-то давно, когда представляли амт, нам показывали как по хттп отвечает выключенный пк, как его можно включить и загрузить ОС, потом перезагрузить, и тп. это рекламировалось как средство возвращения в рабочее состояние пк на котором винда уже даже не загружается. из этого я и исхожу, что если патч на сам МЕ, то эта часть работает без системы на независимом от нее сетевом адаптере.
Я не понимаю чего тут обсуждать - об этом (уязвимости самой firmware) написано прямо в intel advisory. Кроме того, никакой виндовый софт никто не предлагает обновлять. Говорится везде о необходимости обновления firmware. Как все это работает - см. в некоторых документах.
Я, кстати, вчера или позавчера еще несколько линков добавил, которые могут быть интересны.
по ассемблеру в pdfке видно, что это не интеловый ассемблер. но мне все еще непонятно, в случае сервака с ipmi (отдельной платкой, с отдельным портом) это актуально или нет? торчат ли какие-то хвосты не через езернетовский интерфейс?
я как бы ничего не считаю. я спрашиваю как мне без винды и не перегружая проверить/составить список уязвимых хостов и как их проапдейтить и/или изолировать если вендор не выпустил обновления фирмвари. все рецепты от интела сводятся к "а вот в виннде..."
думаю проще найти работающий POC и применить к своим машинам, чем чтото искать на сайтах интела. бегать тыкаться в биосы всех мастей, тоже сомнительное удовольствие, но если знать какие машины то придется в биосах на них ковыряться. Думаю реально патчи не применятся еще долго, пока добродушное комьюнити чтото типа брикербота не напишет.
Reply
Reply
потому что у интела процедура наличия vpro и прочего прямо завязана на винду и установленный софт.
и если типа нет -- то и ладушки.
Reply
Тут дока и софт для сборки отчета
См. внимательно доку, там везде явственно речь идет о firmware.
Ну, собственно, и в самой бла-бла статье.
Еще сюда можно глянуть
https://downloadcenter.intel.com/download/26754
Reply
Reply
https://downloadcenter.intel.com/download/26691/Intel-SCS-System-Discovery-Utility
Reply
похоже опять локальное, не по сети
Reply
update. на https://news.ycombinator.com/item?id=14275884 походу тоже считают, что уязвима сама фирмварь и линукс никого не спасет.
Reply
Кроме того, никакой виндовый софт никто не предлагает обновлять. Говорится везде о необходимости обновления firmware. Как все это работает - см. в некоторых документах.
Я, кстати, вчера или позавчера еще несколько линков добавил, которые могут быть интересны.
Reply
но мне все еще непонятно, в случае сервака с ipmi (отдельной платкой, с отдельным портом) это актуально или нет?
торчат ли какие-то хвосты не через езернетовский интерфейс?
Reply
Reply
Reply
Reply
на каком порту там будет шаред?
по мануалу там только dedicated.
Reply
я спрашиваю как мне без винды и не перегружая проверить/составить список уязвимых хостов и как их проапдейтить и/или изолировать если вендор не выпустил обновления фирмвари.
все рецепты от интела сводятся к "а вот в виннде..."
Reply
Думаю реально патчи не применятся еще долго, пока добродушное комьюнити чтото типа брикербота не напишет.
Reply
Leave a comment