T480/s T480 - BIOS 1.52 - CVE-2024-29979, CVE-2024-29980 - was wird hier gefixt ?

[pepun]

Hallo ans Forum,

ich habe diverse T480 mit deaktiviert Management Engine und war gerade im Rahmen einer Neuinstallation eines Gerätes dabei, das BIOS auf 1.52 zu flashen. Leider gibt es da wohl Einschränkungen hinsichtlich Advanced BIOS Menu und me_cleaner.

Im Rahmen einer Abwägung hatte ich dann mal nach den Security Fixes der Version 1.52 geschaut, diese sollen die nachfolgende Lücken schließen:

CVE-2024-29979, CVE-2024-29980 - hierzu finde ich nichts im Netz außer Status "reserved" in der CVE-Datenbank
CVE-2024-24853 - nur mit "Local Access" auszunutzen
CVE-2023-45236, CVE-2023-45237 - Schwachstellen in PXE [1], dieses ist sowieso deaktiviert.

Die letzten beiden Zeilen schätze ich für meine Anwendung als unproblematisch ein ... aber was verbirgt sich hinter den beiden Einträgen in Zeile 1, wenn man dazu so überhaupt nichts findet?

Grüße, pepun.

[1] https://blog.quarkslab.com/pixiefai...-in-tianocores-edk-ii-ipv6-network-stack.html

 

[Mornsgrans]

Google doch einfach mal nach den CVE-Nummern.
Die erste von Dir genannte wirft als vierten Treffer aus:

NVD - CVE-2024-29779

nvd.nist.gov

 

[pepun]

Jetzt habe ich doch am frühen Morgen an meiner Fähigkeit zur abendlichen Websuche gezweifelt .... bei dir ist da allerdings ein Zahlendreher drin.

Unter den CVE-2024-29979 und CVE-2024-29980 findet man so gut wie nix aber Lenovo fixt das für ein sehr altes Gerät. Ich finde das merkwürdig.

 

[Mornsgrans]

aber Lenovo fixt das für ein sehr altes Gerät. Ich finde das merkwürdig.

Das kommt schon mal vor. Und wenn es für ältere Geräte tatsächlich vorkommt, dürfte es sich um eine sehr kritische Sicherheitslücke handeln.

Der von mit oben verlinkte CVE ist tatsächlich ein anderer. Dass "*reserved*" unter dem von Dir genannten CVE steht, lässt Spekulationen zu, könnte aber mit Absicht dort stehen, um (weiteres) ausnutzen der Lücke durch Nachahmer zu vermeiden. - Würde zu meinem ersten Absatz dieses Beitrags passen.

 

[BlackRaven]

Ich finde das merkwürdig.

In fact, there is nothing surprising
Lenovo does everything to get you to buy a new laptop
This has already happened. In the xx20 series laptops, they artificially slowed down the RAM
There are no fixes in the new update
All they did was adjust the RSA signature verification
This is done to prevent users from using mods
I did not have the opportunity to conduct tests, but I studied the new bios and in general there is some understanding of how to fix the situation

P.S. sorry, I don't speak German, so I write in English

 

[Asuka]

In fact, there is nothing surprising
Lenovo does everything to get you to buy a new laptop
This has already happened. In the xx20 series laptops, they artificially slowed down the RAM
There are no fixes in the new update
All they did was adjust the RSA signature verification
This is done to prevent users from using mods
I did not have the opportunity to conduct tests, but I studied the new bios and in general there is some understanding of how to fix the situation

P.S. sorry, I don't speak German, so I write in English

can you revert to an earlier version after the update or are you stuck if it gets installed?

 

[BlackRaven]

can you revert to an earlier version after the update or are you stuck if it gets installed?

You can go back to the previous version if you have a saved dump made by the SPI programmer

 

[Ambrosius]

You can go back to the previous version if you have a saved dump made by the SPI programmer

and per Software Flash not revertable?

 

[BlackRaven]

and per Software Flash not revertable?

No

 

[Mornsgrans]

Should be mentioned in te README

 

[Asuka]

You can go back to the previous version if you have a saved dump made by the SPI programmer

Cant you use a generic dump by another T480 user? does it have to be specific to the machine?

 

[thickpad]

@BlackRaven

A downgrade from 1.52 to 1.51 is possible with T480 in Windows with original Lenovo Bios Download.

I did it myself last month due to the advanced menu not possible in 1.52..

you only have to disable Secure RollBack prevention in UEFI otherwise you will get this error.

 

[BlackRaven]

Cant you use a generic dump by another T480 user? does it have to be specific to the machine?

All dumps are personal
You may get unpleasant consequences
First of all, you will lose DMI data
Your laptop may not work correctly due to the ME region from another laptop
You should also remember the GbE region

the advanced menu not possible in 1.52

this is not a completely correct wording
Unable to use mods
But, as I already wrote, I think that this problem can be bypassed

 

[Asuka]

whew I just noticed I am still on 1.23 . Does that mean everything is fine for my board?

 

[BlackRaven]

whew I just noticed I am still on 1.23 . Does that mean everything is fine for my board?

if your laptop works stably, then everything is fine