多个ThinkServer System Manager（TSM）*50 系列安全缺陷-联想乐享知识库

多个ThinkServer System Manager（TSM）50 系列安全缺陷 问题:漏洞与防护 Lenovo 安全公告：LEN-2015-024 潜在影响：未经授权的访问；权限提升；拒绝服务；中间人（MitM）攻击 重要性：高 摘要： 我们发现 50 系列 ThinkServer 的 ThinkServer System Manager（TSM）底板管理控制器中存在多个安全缺陷。这些缺陷已在内部安全审查期间发现并予以修正。强烈建议您升级到 TSM 的最新版本，我们将此视为一项重要更新。 描述： 内部安全审查发现，50 系列 ThinkServer 的 ThinkServer System Manager（TSM）底板管理控制器中存在多个安全缺陷。 若被利用，这些缺陷可能会带来以下一项或多项安全影响： 未经授权的访问和权限提升：IPMI-over-LAN 中的已知漏洞或特别制作的备份文件得到恢复可能会允许未经授权的访问或导致权限提升 拒绝服务：在某些情况下，如果用户认证期间出现某个格式错误的 HTTP 输入组合，可能会导致 Web 用户界面崩溃 中间人攻击：建立加密的远程 KVM 会话时未执行服务器证书验证 我们已在 50 系列 ThinkServer 的 TSM v1.27.73476 固件版本中修正了这些缺陷。此更新还包括其他内部代码改进，以便进一步增强 TSM 安全性。可通过以下链接找到 TSM 的最新版本：DS102390. TSM v1.27.73476 固件版本是一项重要更新，我们强烈建议所有 ThinkServer *50 系列客户安装此版本。 解决方案: 缓解方法和最佳实践： 请参阅“Lenovo ThinkServer System Manager（TSM）安全性最佳实践”指南，了解如何防范本公告中描述的安全缺陷以及其他针对 TSM 的攻击。 受影响的产品： ThinkServer RD350 ThinkServer RD450 ThinkServer RD550 ThinkServer RD650 ThinkServer TD350 备注: 致谢：无 其他信息和参考资料： TSM 更新 Lenovo ThinkServer System Manager（TSM）安全性最佳实践 CVE ID：CVE-2015-3323、CVE-2015-3324 修订历史： 版本 日期 描述 1.1 05/05/2015 添加了 CVE ID 1.0 03/24/2015 初始版本