LXCA日志文件中的凭据泄露-联想乐享知识库

LXCA日志文件中的凭据泄露 分类:Y系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-11635 潜在影响：向非特权用户泄露凭据 重要性：高 影响范围：Lenovo 特有的产品 CVE ID：CVE-2016-8233 摘要描述： 在内部安全审查中，发现 Lenovo XClarity Administrator（LXCA）生成的日志文件包含以不安全的明文形式呈现的用户凭据信息，这些信息可被非特权用户查看。Lenovo XClarity Administrator 是 Lenovo 服务器系统的一种集中式资源管理解决方案。 生成的日志文件可能包含： - SSH 密码 - SNMPv3 认证密码 - SNMPv3 隐私密码 - 切换“enable”密码 - 用于管理 LXCA 中机箱的配置恢复密码 - 网络代理密码 - 托管终点登录凭据 - 在某些配置下，托管的操作系统的登录凭据 - 配置权限服务器的用户名和密码解决方案: 应采取哪些措施进行自我保护： 可在此更新到 LXCA 的最新版 1.2.2 版或更高版本。 Lenovo 建议管理员更改 LXCA 管理的设备的密码（如果用户不知道这些密码已授予访问 LXCA 的权限）。 而且，用户应清除 LXCA 虚拟机上的日志并删除下载至它们的系统驱动器上的任何 LXCA 生成日志文件。 LXCA 虚拟机日志可通过以下方式清除：转至“管理”->“服务和支持”，然后从“管理服务器文件”选项卡，转至“所有操作”并选择“清除日志文件”。 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 修订历史： 修订版本：1.0 日期：2/2/2017 描述：初始版本 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。