所有分类 > 病毒与安全 > 漏洞与防护 > 多个ThinkServer System Manager(TSM)*50 系列安全缺陷

多个ThinkServer System Manager(TSM)*50 系列安全缺陷

. 1456906910 | 知识编号: 147162

Lenovo 安全公告:LEN-2015-024



潜在影响:未经授权的访问;权限提升;拒绝服务;中间人(MitM)攻击



重要性



摘要:



我们发现 *50 系列 ThinkServer 的 ThinkServer System Manager(TSM)底板管理控制器中存在多个安全缺陷。这些缺陷已在内部安全审查期间发现并予以修正。强烈建议您升级到 TSM 的最新版本,我们将此视为一项重要更新。



描述:



内部安全审查发现,*50 系列 ThinkServer 的 ThinkServer System Manager(TSM)底板管理控制器中存在多个安全缺陷。 若被利用,这些缺陷可能会带来以下一项或多项安全影响:



未经授权的访问和权限提升:IPMI-over-LAN 中的已知漏洞或特别制作的备份文件得到恢复可能会允许未经授权的访问或导致权限提升



拒绝服务:在某些情况下,如果用户认证期间出现某个格式错误的 HTTP 输入组合,可能会导致 Web 用户界面崩溃



中间人攻击:建立加密的远程 KVM 会话时未执行服务器证书验证



我们已在 *50 系列 ThinkServer 的 TSM v1.27.73476 固件版本中修正了这些缺陷。此更新还包括其他内部代码改进,以便进一步增强 TSM 安全性。可通过以下链接找到 TSM 的最新版本:DS102390.



TSM v1.27.73476 固件版本是一项重要更新,我们强烈建议所有 ThinkServer *50 系列客户安装此版本。


解决方案:


缓解方法和最佳实践:



请参阅“Lenovo ThinkServer System Manager(TSM)安全性最佳实践”指南,了解如何防范本公告中描述的安全缺陷以及其他针对 TSM 的攻击。



受影响的产品:



ThinkServer RD350



ThinkServer RD450



ThinkServer RD550



ThinkServer RD650



ThinkServer TD350


备注:

致谢:无



其他信息和参考资料:



TSM 更新



Lenovo ThinkServer System Manager(TSM)安全性最佳实践



CVE ID:CVE-2015-3323CVE-2015-3324



修订历史:




     

版本



     


     

日期



     


     

描述



     


     

1.1



     


     

05/05/2015



     


     

添加了 CVE ID



     


     

1.0



     


     

03/24/2015



     


     

初始版本



     


                       

联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。