所属分类 > 病毒与安全 > 漏洞与防护 > Lenovo Service Bridge包含越权漏洞和其他漏洞

Lenovo Service Bridge包含越权漏洞和其他漏洞

. 2017-09-30 16:32:48 | 知识编号: 165424

故障现象:

Lenovo 安全公告:LEN-10149


潜在影响:本地权限提升、跨站请求伪造、不安全连接、可能插入伪造代码签名证书


严重性


影响范围:Lenovo 特有的产品


CVE ID:CVE-2016-8228、CVE-2016-8229、CVE-2016-8230、CVE-2016-8231


摘要描述:


内部调查期间,Lenovo 发现 Lenovo Service Bridge(LSB)中存在多个漏洞,如下所示:


1、具有系统本地权限的用户可用管理权限执行代码(CVE-2016-8228)


2、对于安装了 LSB 的系统,如果攻击者对系统使用的 DHCP 服务器拥有访问权限,则其可利用跨站请求伪造漏洞进行攻击(CVE-2016-8229)。


3、LSB 使用不安全的 HTTP 连接向 Lenovo 服务器发送系统序列号、机器类型和型号以及产品名称(CVE-2016-8230)


4、代码签名证书的签名验证逻辑存在漏洞,攻击者可能利用它插入伪造的代码签名证书。(CVE-2016-8231)


Lenovo Service Bridge(LSB.exe)是在 Windows 下运行的一个实用软件程序,该程序可通过 Lenovo 支持 Web 站点下载,用于自动检测计算机的序列号、机器类型和型号。这些信息将被发送到 Lenovo 服务器,从而在获取支持时不再需要搜索或浏览这些产品信息。


解决方案:

应采取哪些措施进行自我保护:


如果系统上已安装 Lenovo Service Bridge,它将自动更新。此问题在版本 4 及更高版本中已修复。用户可手动进行更新,方法是访问 http://pcsupport.lenovo.com,然后单击“Detect my Serial Number(检测我的序列号)”查看 Lenovo Service Bridge 的简介、条款和条件,以及下载选项。


当更新可用时,如果反病毒程序(例如 Symantec)弹出有新软件更新可用的消息,请务必选择“安装”。


http://download.lenovo.com/km/media/images/PS500087/len-10149_20170105013305.JPG


http://download.lenovo.com/km/media/images/PS500087/len-10149-2_20170105013443.JPG


产品影响:


如果之前从 Lenovo 支持站点下载了 Lenovo Service Bridge,您的 IdeaPad、IdeaCentre、Lenovo Tab(Windows)、ThinkCentre、ThinkPad、ThinkStation 或 Yoga 系统可能会受到影响。


其他信息和参考资料:


https://support.lenovo.com/us/en/documents/ht104055


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。