安全公告:LEN-23806 CMM 安全问题 分类:ThinkPad T 问题:漏洞与防护 故障现象: Lenovo 安全公告:LEN-23806 潜在影响:信息泄露;硬编码加密密钥 严重性:中 影响范围:Lenovo 特有的产品 CVE ID: CVE-2018-9071、CVE-2018-9073 摘要: 在最近一次内部审核中,Lenovo 发现 Flex System Chassis 中的 Lenovo Chassis Management Module(CMM)存在潜在安全漏洞。其中包括以下问题: CVE-2018-9071:CMM 允许未认证的用户检索与当前认证配置设置相关的信息。曝露的设置与密码长度、过期限制和锁定配置有关。 CVE-2018-9073:CMM 利用一个硬编码加密密钥来保护某些机密。如果已入侵服务器的攻击者拥有该密钥,可能可以对这些机密进行解密。解决方案: 应采取哪些措施进行自我保护: Lenovo 建议客户将其 CMM 固件更新到版本 2.0.0 或更高。此固件适用于 Flex System Enterprise Chassis(TM)系统:使用 Lenovo Chassis Management Module 2(CMM2)硬件的系统 8721(全部)、7893(全部)、8724(全部)、7953(全部)、7385(全部)。 客户应只将 CMM 连接到受信任的管理网络,并只允许受信任的管理员来管理 CMM。备注:
安全公告:LEN-23806 CMM 安全问题-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 安全公告:LEN-23806 CMM 安全问题 的常见问题,包括:Lenovo Chassis Management Module(CMM)哪些版本受影响?、Lenovo Chassis Management Module(CMM)如何修复LEN-23806安全问题?等。
内容来源:联想官方
常见问题解答
Lenovo Chassis Management Module(CMM)哪些版本受影响?
受影响的版本为低于2.0.0的CMM固件版本;Lenovo建议更新至CMM固件版本2.0.0或更高版本,该修复版本适用于Flex System Enterprise Chassis(TM)系统中搭载Lenovo Chassis Management Module 2(CMM2)硬件的型号:8721(全部)、7893(全部)、8724(全部)、7953(全部)、7385(全部)。
Lenovo Chassis Management Module(CMM)如何修复LEN-23806安全问题?
Lenovo建议客户将CMM固件更新至版本2.0.0或更高版本;此固件适用于Flex System Enterprise Chassis(TM)系统中搭载Lenovo Chassis Management Module 2(CMM2)硬件的型号:8721(全部)、7893(全部)、8724(全部)、7953(全部)、7385(全部);同时应仅将CMM连接到受信任的管理网络,并仅授权受信任的管理员进行管理。