所属分类 > 病毒与安全 > 漏洞与防护 > 安全公告:LEN-24785 早期 IBM System x IMM 中存储的 XSS 漏洞

安全公告:LEN-24785 早期 IBM System x IMM 中存储的 XSS 漏洞

. 2019-08-27 17:50:20 | 知识编号: 184394

故障现象:

Lenovo 安全公告:LEN-24785


潜在影响:执行代码


严重性:高


影响范围:Lenovo 特有的产品


CVE ID:CVE-2019-6159


摘要描述:


早期 IBM System x IMM(IMM v1)嵌入式基板管理控制器(BMC)中存在存储的跨站点脚本(XSS)漏洞。此漏洞可能允许未经身份验证的用户将 JavaScript 代码存储在 IMM 日志中,然后在查看包含 JavaScript 代码的 IMM 日志记录时,可以在用户的 Web 浏览器中执行该代码。不会在 IMM 上执行 JavaScript 代码。后期 IMM2(IMM v2)不会受到影响。


解决方案:

应采取哪些措施进行自我保护:


IMM(IMM v1)即将停止支持,因此修补程序无法处理该漏洞。


要缓解此漏洞的危害,用户应:



  • 仅在受信任的网络上访问 IMM Web 界面。

  • 禁用 Web 浏览器中的 JavaScript 后,通过 SSH 会话或 IMM Web 界面查看 IMM 日志。

  • 将 IMM 日志发送到不提供 JavaScript 的日志管理系统。


致谢:


Lenovo 谨对报告此问题的 Christopher Arnold 表示感谢。


产品影响:


BladeCenter HS22


BladeCenter HS22V


BladeCenter HX5


System x iDataPlex dx360 M2


System x iDataPlex dx360 M3


System x3400 M3


System x3500 M2


System x3500 M3


System x3550 M3


System x3560 M2


System x3630 M3


System x3650 M3


System x3690 X5


System x3850 X5


System x3950 X5


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。