您现在的位置:服务与支持频道 > Lenovo产品安全策略

Lenovo 产品安全公告

Lenovo 致力于研发遵循最高安全标准的产品和服务,以保护我们的客户及其数据。收到潜在漏洞报告后,Lenovo 产品安全事件响应团队(PSIRT)有责任进行调查并向客户提供相关信息,在我们努力提供解决方案时,协助客户制定好应对计划。有关其他信息,请参阅 Lenovo 漏洞披露政策。

Lenovo 始终建议采用最新版本的平台软件(BIOS、BMC/TSM、FW 等)。因此,Lenovo 仅评估 support.lenovo.com 上最新版本软件的安全漏洞。对于操作系统(OS)中的安全漏洞,Lenovo 建议您参考操作系统供应商的解决方案。

有关最新漏洞的信息,请参阅当前的公告:

公告 首次发布时间 上次更新时间
LEN-20491: 在 IOCTL 0x9C402000 上的无效输入导致 Lenovo PC Manager 2.6 系统重新启动 2018-02-28 2018-02-28
LEN-18214: Brocade Fabric OS 漏洞 2018-02-28 2018-02-28
LEN-19568: Intel Active Management Technology MEBx 访问控制被绕过 2018-02-28 2018-02-28
LEN-17237: Broadcom WiFi 缓冲区溢出漏洞 2018-02-28 2018-02-28
LEN-15570: Intel 显卡驱动程序不可信搜索路径漏洞 2018-02-28 2018-02-28
LEN-14450: 未经授权的用户导致IMM2遭受拒绝服务攻击 2018-02-28 2018-02-28
LEN-15999: 适用于 Windows 7、8 和 8.1 不安全凭证存储的 Lenovo Fingerprint Manager Pro 2018-02-28 2018-02-28
LEN-16095: 联想和IBM RackSwitch和BladeCenter产品中存在企业网络操作系统(ENOS)认证绕过机制 2018-01-25 2018-01-25
LEN-17904: 联想XClarity控制器(XCC)低熵风险 2018-01-25 2018-01-25
LEN-17297: Intel ME 11.x 、SPS 4.0和TXE 3.0累积安全更新 2018-01-25 2018-01-25
LEN-17538: Lenovo StorSelect DX8200C glibc、Linux内核和Cloudian管理控制台漏洞 2018-01-24 2018-01-24
LEN-17417: Lenovo E95和ThinkCentre M710s/M710t中未完成BIOS/UEFI安全设置 2018-01-24 2018-01-24
LEN-16333: 可访问LXCA文件系统的攻击者可访问本地LXCA帐户凭证和注入LXCA已身份验证的命令 2018-01-24 2018-01-24
LEN-15815: Huawei ME906s 4G LTE移动宽带驱动程序中的本地越权漏洞 2018-01-24 2018-01-24
LEN-15374: Lenovo Android平板电脑与Lenovo VIBE、Moto和ZUK移动电话远程执行代码漏洞 2018-01-24 2018-01-24
LEN-15217: 恶意软件可能损坏Intel 5400s和6000p固态驱动器上的已锁定数据 2018-01-24 2018-01-24
LEN-14390: ElanTech触摸板驱动程序中不带引号的服务路径越权漏洞 2018-01-24 2018-01-24
LEN-  9896: ThinkPad USB 3.0 Ethernet Adapter 驱动程序越权漏洞 2018-01-24 2018-01-24
LEN-18282: 安全公告:通过旁道攻击来读取特权内存 2018-01-08 2018-01-08
LEN-16335: LXCA 用户帐户名称会曝露给能够访问 Web 用户界面的未经授权的用户 2017-10-09 2017-10-09
LEN-18236: Lenovo Storage 和 Storwize 产品的服务助理 GUI 中存在漏洞 2017-10-09 2017-10-09
LEN-13640: 可以启用Intel Direct Connect接口 2017-10-09 2017-10-09
LEN-10149: Lenovo Service Bridge包含越权漏洞和其他漏洞 2017-10-09 2017-10-09
LEN-10810: 通过Lenovo ToolsCenter发送的凭据可能曝露给本地用户 2017-10-09 2017-10-09
LEN-12739: Sierra Wireless WAN驱动程序越权漏洞 2017-10-09 2017-10-09
LEN-13671: Lenovo XClarity Administrator凭据泄露 2017-10-09 2017-10-09
LEN-14005: Intel AMT点击劫持漏洞 2017-10-09 2017-10-09
LEN-14054: IMM2处理的登录信息可能曝露给本地IMM2用户 2017-10-09 2017-10-09
LEN-14078: Lenovo和IBM网络交换机上的全行业OSPF路由漏洞 2017-10-09 2017-10-09
LEN-14200: Apache Struts开源框架远程执行代码 2017-10-09 2017-10-09
LEN-14246: Intel® PROSet/Wireless Software拒绝服务 2017-10-09 2017-10-09
LEN-14398: 在用户可读的位置存储的Lenovo Connect2临时Wi-Fi网络密钥 2017-10-09 2017-10-09
LEN-14794: Brocade Fibre Channel SAN越权漏洞 2017-10-09 2017-10-09
LEN-15046: 适用于台式机的Lenovo Nerve Center越权漏洞 2017-10-09 2017-10-09
LEN-15061: ThinkPad Compact USB Keyboard with TrackPoint驱动程序不带引号的服务路径 2017-10-09 2017-10-09
LEN-15084: 部分Lenovo品牌笔记本电脑未配置BIOS写入保护 2017-10-09 2017-10-09
LEN-15183: Lenovo StorSelect DX8200C HyperStore在Linux内核中DCCP协议的IPv6实现方式存在释放后使用漏洞 2017-10-09 2017-10-09
LEN-15184: Intel SGX更新和认证密钥恢复 2017-10-09 2017-10-09
LEN-15823: Lenovo VIBE手机上的本地根目录攻击 2017-10-09 2017-10-09
LEN-14957: 用于Lenovo初始化的IBM Storwize USB驱动器含恶意软件 2017-05-12 2017-05-12
LEN-10962: NVIDIA Linux GPU 显示驱动程序中包含缺失权限检查和不当验证漏洞 2017-05-09 2017-05-09
LEN-8313: Lenovo Updates 远程代码执行 2017-05-09 2017-05-09
LEN-11340: Lenovo CCSDK 中的权限提升漏洞 2017-05-09 2017-05-09
LEN-13637: Lenovo Active Protection System 权限提升 2017-05-09 2017-05-09
LEN-14440: 本地用户可在Lenovo Power Management驱动程序中更改TrackPoint功能 2017-05-09 2017-05-09
LEN-14963: Intel Active Management Technology、Intel Small Business Technology和Intel Standard Manageability远程越权漏洞 2017-05-09 2017-05-09
LEN-10822: NVidia Windows GPU显示驱动程序的内核模式层存在多个漏洞 2017-05-09 2017-05-09
LEN-13634: 发现Lenovo R3220无线路由器有密码泄露的漏洞 2017-04-11 2017-04-11
LEN-8584: 绕过Microsoft Windows 10基于虚拟化的安全性 2017-01-05 2017-01-05
LEN-9307: 在长时间的广播风暴期间,某些ThinkServer系统可能会重置为缺省配置 2017-01-05 2017-01-05
LEN-11158: Intel® Wireless Bluetooth® 驱动程序不带引号的服务路径问题 2017-03-28 2017-03-28
LEN-11306: Lenovo System X M5、M6 和 X6 系统上的拒绝服务攻击 2017-01-05 2017-01-05
LEN-11588: Lenovo Edge USB Keyboard驱动程序本地权限提升 2017-01-05 2017-01-05
LEN-7908: 在PXE引导期间发送的包含恶意代码的数据包可能导致系统挂起 2017-01-05 2017-01-05
LEN-9458: 运行BIOS Secure Erase功能或ThinkPad Drive Erase Utility后,有可能恢复Toshiba固态驱动器上的数据 2016-11-16 2016-11-16
LEN-10617: 在Lenovo System x Integrated Management Module(IMM)、Integrated Management Module II(IMM2)和ThinkServer TSM上使用智能平台管理接口(IPMI)存在风险 2016-11-16 2016-11-16
LEN-10605: 临时Lenovo XClarity Administrator(LXCA)凭证可能被泄漏 2016-11-16 2016-11-16
LEN-7806: 某些BIOS版本可能包含AMI测试密钥,这可能会损害安全引导保护 2016-09-02 2016-09-02
LEN-7267: Lenovo Ultraslim 无线键盘击键输入 2016-09-01 2016-09-01
LEN-7814: Lenovo Solution Center未经授权的本地用户代码执行或终止任意进程 2016-08-15 2016-08-15
LEN-7805: 对Lenovo RackSwitch具有物理访问权限的攻击者可能可以加载未签名的固件 2016-08-15 2016-08-15
LEN-7145: Lenovo XClarity Administrator(LXCA)本地越权漏洞 2016-08-15 2016-08-15
LEN-6022: Intel SSD Data Center Family for SATA中存在潜在漏洞 2016-08-15 2016-08-15
LEN-5595: 运行ThinkPad Drive Erase Utility 后,SanDisk固态驱动器中的数据可能被恢复 2016-08-15 2016-08-15
LEN-5551: NVIDIA GPU内核驱动程序泄露 2016-08-15 2016-08-15
LEN-4884: Dolby Audio X2(DAX2)越权漏洞 2016-08-15 2016-08-15
LEN-8324: 系统管理模式(SMM)BIOS漏洞 2016-08-08 2016-08-08
LEN-6421: Android 版茄子快传漏洞 2016-07-11 2016-07-11
LEN-5519: Lenovo System Update 越权漏洞 2016-07-11 2016-07-11
LEN-4710:AMI BIOS SMM 代码执行漏洞 2016-06-12 2016-06-12
LEN-6718:Lenovo Accelerator Application 不安全的更新机制 2016-06-07 2016-06-07
LEN-3846:如果 LenovoEMC 设备具有可通过因特网访问的管理界面,则关于 LenovoEMC 设备的信息可能会泄露 2016-05-10 2016-05-10
LEN-4281:Fingerprint Validity Driver 和 Synaptics Fingerprint Driver 信息泄露 2016-05-10 2016-05-10
LEN-4282:Lenovo Fingerprint Manager和Lenovo Touch Fingerprint Software越权漏洞 2016-05-10 2016-05-10
LEN-4292:Lenovo 500 无线键盘或鼠标击键输入 2016-05-10 2016-05-10
LEN-5524:ThinkCentre Hard Disk Password 绕过 2016-05-10 2016-05-10
LEN-2015-016:Samba 远程代码执行漏洞 2016-03-09 2016-03-09
LEN-4186:关于禁用T350G7 BMC模块的默认账号的解决方法 2016-02-02 2016-02-02
LEN-2015-074:关于IBM System Networking Switch Center 和 Lenovo Switch Center 中的权限提升漏洞的说明 2016-02-02 2016-02-02
LEN-3044:关于VeriFace 和 VeriFace Pro 软件的漏洞的解决方法 2016-02-02 2016-02-02
LEN-3748:关于Intel处理器Memory Sinkhole漏洞的相关说明 2016-02-02 2016-02-02
LEN 2015-077:适用于台式机的 Lenovo Service Engine(LSE)BIOS安全公告 2016-02-02 2016-02-02
LEN-2015-020:适用于笔记本电脑的 Lenovo Service Engine(LSE)BIOS安全公告 2016-02-02 2016-02-02
LEN-2015-009:Row Hammer权限提升 2016-02-02 2016-02-02
LEN-2015-001:Intel BIOS锁定机制包括可启用写入保护旁路的竞争条件 2016-02-02 2016-02-02
LEN-2014-006:S3启动脚本保护 2016-02-02 2016-02-02
LEN-4058:Windows和Android版本的SHAREit存在漏洞 2016-02-02 2016-02-02
LEN-4326:Lenovo Solution Center 中的权限提升漏洞 2016-02-02 2016-02-02
LEN-3556:Lenovo Solution Center 中的权限提升漏洞即使Intel AMT已禁用,USB 配置也可能会被利用 2016-02-02 2016-02-02
LEN-3313:NVIDIA 显卡驱动程序中的未净化指针导致内存损坏 2016-02-02 2016-02-02
LEN-2910:在系统处于睡眠状态时访问自加密驱动器上的数据 2016-02-02 2016-02-02
LEN-2537、LEN-2538:System X IMM2 中的权限提升和拒绝服务漏洞 2016-02-02 2016-02-02
LEN-2015-082:未设置 TPM“nvLocked”永久标志的问题 2016-02-02 2016-02-02
LEN-2015-049、LEN-2015-050、LEN-2015-051:Intel发布Bypass 睡眠模式修复程序 2016-02-02 2016-02-02
LEN-2015-011:Lenovo System Update 权限提升 2016-02-02 2016-02-02
LEN-2015-002:SMM“Incursion”攻击 2016-02-02 2016-02-02
LEN-2014-001:UEFI EDK2 Capsule 更新漏洞 2016-02-02 2016-02-02
LEN-2014-002:未经授权修改 UEFI 系统中的 UEFI 变量 2016-02-02 2016-02-02
LEN-2014-003:GNU Bourne-Again Shell(Bash)“Shellshock” 2016-02-02 2016-02-02
LEN-2014-007:POODLE:SSLv3 漏洞 2016-02-02 2016-02-02
LEN-2014-009:UEFI变量回收功能溢出 2016-02-02 2016-02-02
LEN-2015-007:GNU C Library (glibc) __nss_hostname_digits_dots() 函数库存在缓冲区溢出高危漏洞(“GHOST”) 2016-02-02 2016-02-02
LEN-2015-008:NVIDIA Windows 委派权限提升 2016-02-02 2016-02-02
LEN-2015-015:USB 性能增强型键盘 2016-02-02 2016-02-02
LEN-2015-017:Lenovo Fingerprint Manager 2016-02-02 2016-02-02
LEN-2015-018:ThinkServer *50 系列 BIOS 密码加密缺陷 2016-02-02 2016-02-02
LEN-2015-024:多个ThinkServer System Manager(TSM)*50 系列安全缺陷 2016-02-02 2016-02-02
LEN-2015-033:Access Connections 权限提升 2016-02-02 2016-02-02
LEN-2015-046:Venom 2016-02-02 2016-02-02
LEN-2015-066:Lenovo Mouse Suite 权限提升 2016-02-02 2016-02-02
LEN-2015-075:QEMU i8254 PIT 模拟漏洞 2016-02-02 2016-02-02
LEN-147168: 严重性 2016-02-02 2016-02-02
LEN-147169:Lenovo 漏洞公开策略 2016-02-02 2016-02-02

报告产品安全问题

请仔细阅读这些说明,确保将您的发现报告给 Lenovo 内正确的团队。

有关影响 Lenovo 产品的产品安全漏洞,请发送电子邮件至 psirt@lenovo.com。使用 Lenovo 的产品安全事件响应团队 PGP 密钥对敏感信息进行加密。单击此处下载我们的 PGP 公钥。

您还可以通过电话(+)1-919-237-8074 联系我们。 

请提供尽可能详细的信息,包括受影响的产品和版本信息、漏洞的详细描述以及关于已知漏洞利用行为的任何信息。另请提供您的 PGP 密钥以便我们就敏感问题与您进行沟通。

Lenovo PSIRT 位于我们的美国总部,工作时间为星期一到星期五的早上 8:00 到下午 5:00。

我们会尽量在 2 个工作日内确认收到您提交的报告。

关于在 Lenovo 网站中发现的漏洞,请发送电子邮件至 lsrc@lenovo.com

如果您需要报告产品丢失或被盗事件或需要技术支持,请参阅支持电话列表,查找针对您产品的联系信息。