所属分类 > 病毒与安全 > 漏洞与防护 > 可访问LXCA文件系统的攻击者可访问本地LXCA帐户凭证和注入LXCA已身份验证的命令

可访问LXCA文件系统的攻击者可访问本地LXCA帐户凭证和注入LXCA已身份验证的命令

. 2017-12-01 11:16:18 | 知识编号: 166725

故障现象:

Lenovo 安全公告:LEN-16333


潜在影响:可访问 LXCA 文件系统存储位置的攻击者可访问本地 LXCA 帐户的凭证,而已通过身份验证的用户可提升权限。


严重性:“中”到“高”


影响范围:Lenovo 特有的产品


CVE ID:CVE-2017-3763、CVE-2017-3770


摘要描述:


内部评估期间,在 Lenovo XClarity Administrator(LXCA)管理工具中发现了两个漏洞。


1、CVE-2017-3763


可访问 LXCA 文件系统存储位置的攻击者可访问本地 LXCA 帐户的凭证。


在 Lenovo XClarity Administrator(LXCA)管理工具中创建本地用户时,LXCA 管理其帐户信息并存储到 LXCA 映像上的本地 LDAP 服务器中。所有 LDAP 数据存储在 LXCA 映像存储的磁盘上。此数据中包含所有本地 LDAP 用户密码和用户历史记录中的所有密码,这些密码通常通过在存储到磁盘上之前加以哈希进行保护。已发现这些密码值已编码,但未经哈希。


经过编码的密码值存储在磁盘上用户通常无论如何都不能访问的位置中。LXCA 映像中默认已禁用本地 shell 访问,而 LDAP 文件数据不能被网络中的任何应用程序公开。但是,如果 LXCA 管理员分析可访问 LXCA 文件系统,则根用户可访问 LDAP 文件数据和解码任何本地 LXCA LDAP 用户的密码。


2、CVE-2017-3770


已在 LXCA 中发现了一个越权漏洞,已通过身份验证的用户可利用该漏洞来滥用特定 Web 界面功能在基础 LXCA 操作系统内执行特权命令。


Lenovo XClarity Administrator 是 Lenovo 服务器系统的一种集中式资源管理解决方案。


解决方案:

应采取哪些措施进行自我保护:


将 LXCA 更新至最新版本 1.3.2 或更高版本


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。