所属分类 > 病毒与安全 > 漏洞与防护 > Lenovo StorSelect DX8200C glibc、Linux内核和Cloudian管理控制台漏洞

Lenovo StorSelect DX8200C glibc、Linux内核和Cloudian管理控制台漏洞

. 2017-12-01 11:07:35 | 知识编号: 166730

故障现象:

Lenovo 安全公告:LEN-17538


潜在影响:执行任意代码


严重性


影响范围:全行业


CVE ID:CVE-2017-1000364、CVE-2017-1000366


摘要:


已发现运行 Cloudian HyperStore v6.2.1 之前版本的 Lenovo StorSelect DX8200C MT 5120 存在若干漏洞。


Lenovo StorSelect 是在 Lenovo x86 服务器上运行的一个软件定义存储(SDS)解决方案。


建议所有设备用户均阅读本文并为自己的 CentOS 6.8 采取必要行动。 Redhat 已通过 Linux glibc 和内核包报告了这些漏洞,并提供了补救方法。


· CVE-2017-1000364:已发现 Linux 上的堆栈保护页面大小有问题,特别是 4k 堆栈保护页面不够大,不能“跳”过(绕过堆栈保护页面),这将影响 Linux 内核版本 4.11.5 及更低版本(堆栈保护页面是在 2010 年引入的)。


· CVE-2017-1000366:glibc 中包含一个漏洞,可利用该漏洞使用特制的 LD_LIBRARY_PATH 值操纵堆/堆栈,从而导致其使用别名,因此可能执行任意代码。


· 已发现中 Cloudian 管理控制台 (CMC),其中系统管理员权限的恶意用户可以任意 OS 命令 HyperStore 节点通过运行 CMC 可能的安全漏洞。Cloudian HyperStore v6.2.1 及更高版本中已修复了这些问题。受影响的版本:Cloudian HyperStore v6.0.x、v6.1.x 和 v6.2。


解决方案:

应采取哪些措施进行自我保护:


· 按照以下 CVE 的 Red Hat 说明应用修复程序:


CVE-2017-1000364


CVE-2017-1000366


· 拥有许可证的 Lenovo StorSelect DX8200C 用户应访问 Cloudian 支持门户网站获取更多信息并下载修复程序。


对于有许可证的 StorSelect DX8200C 最终用户:https://cloudian-support.force.com/lenovo/50110000000EMp4


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。