您现在的位置:服务与支持频道 >

技术知识库

多个ThinkServer System Manager(TSM)*50 系列安全缺陷

文章编号:147162     2016/3/2 16:21:50
故障现象:

Lenovo 安全公告:LEN-2015-024

潜在影响:未经授权的访问;权限提升;拒绝服务;中间人(MitM)攻击

重要性

摘要:

我们发现 *50 系列 ThinkServer 的 ThinkServer System Manager(TSM)底板管理控制器中存在多个安全缺陷。这些缺陷已在内部安全审查期间发现并予以修正。强烈建议您升级到 TSM 的最新版本,我们将此视为一项重要更新。

描述:

内部安全审查发现,*50 系列 ThinkServer 的 ThinkServer System Manager(TSM)底板管理控制器中存在多个安全缺陷。 若被利用,这些缺陷可能会带来以下一项或多项安全影响:

未经授权的访问和权限提升:IPMI-over-LAN 中的已知漏洞或特别制作的备份文件得到恢复可能会允许未经授权的访问或导致权限提升

拒绝服务:在某些情况下,如果用户认证期间出现某个格式错误的 HTTP 输入组合,可能会导致 Web 用户界面崩溃

中间人攻击:建立加密的远程 KVM 会话时未执行服务器证书验证

我们已在 *50 系列 ThinkServer 的 TSM v1.27.73476 固件版本中修正了这些缺陷。此更新还包括其他内部代码改进,以便进一步增强 TSM 安全性。可通过以下链接找到 TSM 的最新版本:DS102390.

TSM v1.27.73476 固件版本是一项重要更新,我们强烈建议所有 ThinkServer *50 系列客户安装此版本。


解决方案:

缓解方法和最佳实践:

请参阅“Lenovo ThinkServer System Manager(TSM)安全性最佳实践”指南,了解如何防范本公告中描述的安全缺陷以及其他针对 TSM 的攻击。

受影响的产品:

ThinkServer RD350

ThinkServer RD450

ThinkServer RD550

ThinkServer RD650

ThinkServer TD350


备注:

致谢:无

其他信息和参考资料:

TSM 更新

Lenovo ThinkServer System Manager(TSM)安全性最佳实践

CVE ID:CVE-2015-3323CVE-2015-3324

修订历史:

版本

日期

描述

1.1

05/05/2015

添加了 CVE ID

1.0

03/24/2015

初始版本


声明:联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。

用户反馈:

客户反馈
 有帮助   没有帮助   我找不到我想要的文档 
 站内搜索
 站内浏览
 互联网搜索
 咨询员引导(邮件、短信或者V盘)
 
                                                                                       
如果您对本文章有任何疑问或想进一步了解相关问题,请通过技术论坛进行交流。  
如果这篇文章对您非常有帮助,建议您将当前文章收藏在您的个人文档收藏夹中,便于您下次浏览Think中文网时可以更快捷的找到本文。 
如果您需要其他帮助请访问 联想问吧 也可以通过 在线技术支持 获得技术支持