あるものはしょうがないので研究室の該当マシンをチェック。ただ、使い方がいまいちわからなかったのでメモ。
判定ツールの結果の解釈
判定ツールのファイルに含まれているドキュメント Intel-SA-00086_Detection_UG.pdf の9ページ表2.2を転載する。
| Message(表示されるメッセージ) | Meaning(意味) |
| Vulnerable(脆弱性あり) | The detected version of the Management Engine firmware is considered vulnerable for INTEL-SA-00086. |
| Not Vulnerable (脆弱性なし) | The system meets the “Not Vulnerable” criteria described in Identifying impacted systems using the INTEL-SA-00086 Detection Tool |
| Maybe Vulnerable (わからない) | Tool could not communicate with the MEI/TXEI Driver. Platform vulnerability cannot be ascertained. (意訳:検出ツールがMET/TXEIドライバーにアクセスできなかった。このため、脆弱性があるのかどうか判定できなかった) |
| Unknown (超わからない) | 意味省略 |
この検出ツールで困るのは、 MEI/TXEIドライバーにアクセスできなかったときに「Maybe Vulnerable」を出してくるところ。今回のCoreプロセッサーは第6~8世代(Skylake、Kaby Lake、Kaby Lake R)が対象なところ、試したのはCore i3 530(Nehalem 世代) で検出ツールを動かした結果「Maybe Vulnerable」と判定された。このため、古いPCを調べる場合は、対象のプロセッサーかどうかの判定も必要となる。
ダウンロード
Windows用でも、Linux用でもこちらのサイトからダウンロードできる。
downloadcenter.intel.com
WIndowsの場合
ダウンロードしたZIPファイルを解凍する。解凍したフォルダに移動する。さらに「DiscoveryTool.GUI」フォルダに移動する。
以下のようなファイルがあるので「Intel-SA-00086-GUI.exe」を実行する(必要に応じて管理者権限で実行する。ファイルを選択し、右クリック「管理者として実行(A)」を選択する)。
しばらくたつと結果が以下のように表示される。もし、「Vulnerable(脆弱性あり)」ならば、「モデル」の項に記載されているメーカーのWebサイトからファームウェアを探し、インストールする。「Not Vulnerable (脆弱性なし)」なら、問題なし。「Maybe Vulnerable (わからない)」であるならば、「プロセッサー名」の情報を参考に今回の脆弱性の対象CPUであるかどうかを調べる。たとえば、以下の例の場合はGoogleで「Core i3 530」と検索したところja.wikipedia:Intel Core i3のページが見つかり、530はNehalem 世代であるため、脆弱性対象の世代(Skylake、Kaby Lake、Kaby Lake R)ではないことが確認できた。
Linux の場合
SA00086_Linuxtar.gzをダウンロードし、調べたいサーバに持っていく。ホームディレクトリにファイルを置いたとする。
% mkdir IntelCPUCheck % cd IntelCPUCheck % tar xvfz ~/SA00086_Linuxtar.gz
./documents/Intel-SA-00086_Detection_UG.pdf に説明がある。Linux版の実行にはPython 2.7が必要。pythonが存在するかどうかはwhichコマンドで確認できる(何も反応がなければpythonはインストールされていない)。pythonのバージョンは以下のように確認できる。
% which python % python --version
ツールを実行する。
% sudo ./intel_sa00086.py
実行結果の例。
INTEL-SA-00086 Detection Tool Copyright(C) 2017, Intel Corporation, All rights reserved Application Version: 1.0.0.128 Scan date: 2017-11-24 03:20:37 GMT *** Host Computer Information *** Name:「サーバのホスト名」 Manufacturer: ASUS Model: All Series Processor Name: Intel(R) Xeon(R) CPU E3-1226 v3 @ 3.30GHz OS Version: debian 8.9 (3.16.0-4-amd64) *** Intel(R) ME Information *** Engine: Intel(R) Management Engine Version: 9.1.10.1005 SVN: 0 *** Risk Assessment *** Based on the analysis performed by this tool: This system is not vulnerable. For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr
関連リンク
- Dellのファームウェアの更新状況
- HPのファームウェア
- HPのファームウェアは機器ごとに対応している様子。HP Software and Driver Downloads for HP Printers, Laptops, Desktops and More | HP® Customer Supportのページに使用しているモデルの情報を入力してドライバーのダウンロードのページへ移動し、「Driver-Chipset」→「Intel Management Engine Driver」を探す。「Detail」をクリックし、そこの説明に「Intel-SA-00086」という記載があったら、対応済みのドライバー。
