所属分类 > 病毒与安全 > 漏洞与防护 > 安全公告:LEN-14450 未经授权的用户导致IMM2遭受拒绝服务攻击

安全公告:LEN-14450 未经授权的用户导致IMM2遭受拒绝服务攻击

. 2018-02-12 21:48:38 | 知识编号: 168576

Lenovo 安全公告:LEN-14450


潜在影响:拒绝服务


严重性


影响范围:Lenovo 特有的产品


CVE ID:CVE-2017-3768


摘要描述:


已在某些 Lenovo 服务器使用的 Integrated Management Module 2(IMM2)中发现了漏洞,可连接到 IMM2 的未经授权攻击者可能会导致 IMM2 遭受拒绝服务攻击。通过 LXCA、OneCLI 和其他工具使用的通用信息模型(CIM)对包含大量认证错误的 IMM2 进行洪水攻击,这样会耗尽可导致 IMM2 自行重新引导的可用系统内存,直至请求结束。


除使用 TCP/5988(基于HTTP的WBEM/CIM)和 TCP/5989(基于HTTPS的WBEMS/CIM)的 CIM 之外的其他接口不受影响。


解决方案:

应采取哪些措施进行自我保护:


将 IMM2 固件更新为如下所示的最新版本,或限制 IMM2 的连接,如只允许连接可信的管理网络。


产品影响:


以下 Lenovo System x 产品受到影响。请更新到版本 4.4 或更高版本,只需单击此处即可。


Flex System x240 M4


Flex System x240 M5


Flex System x280 X6


Flex System x440 M4


Flex System x480 X6


Flex System x880


NeXtScale nx360 M5


System x3250 M6


System x3500 M5


System x3550 M5


System x3650 M5


System x3750 M4


System x3850 X6


System x3950 X6


以下 IBM System x 产品受到影响。请更新到版本 6.4 或更高版本,只需单击此处即可。


BladeCenter HS22


BladeCenter HS23


BladeCenter HS23E


Flex System x220 M4


Flex System x222 M4


Flex System x240 M4


Flex System x280 M4


Flex System x440 M4


Flex System x480 M4


Flex System x880 M4


iDataPlex dx360 M4


iDataPlex dx360 M4 Water Cooled


NeXtScale nx360 M4


System x3100 M4


System x3100 M5


System x3250 M4


System x3250 M5


System x3300 M4


System x3500 M4


System x3530 M4


System x3550 M4


System x3630 M4


System x3650 M4


System x3650 M4 BD


System x3650 M4 HD


System x3750 M4


System x3850 X6


System x3950 X6


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


修订历史:



 修订版本



 日期



 描述



 1



 2018-01-23



 初始版本



最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。