安全公告：LEN-49884 Lenovo XClarity Orchestrator（LXCO）信息泄露漏洞-联想乐享知识库

安全公告：LEN-49884 Lenovo XClarity Orchestrator（LXCO）信息泄露漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-49884 潜在影响：信息泄露 严重性：中 影响范围：Lenovo 特定产品 CVE ID：CVE-2020-8356、CVE-2021-3417 摘要描述： Lenovo XClarity Orchestrator（LXCO）中发现以下漏洞。 CVE-2020-8356：LXCO 的内部产品安全审核发现，Syslog 和 SMTP 转发器的可选密码（如果已指定）会以明文形式写入内部 LXCO 日志文件。受影响的日志系在首次故障数据捕获（FFDC）服务日志中捕获。FFDC 服务日志仅在特权 LXCO 用户请求时生成，并且仅供发出请求的特权 LXCO 用户访问。 CVE-2021-3417：LXCO 的内部产品安全审核发现，如果将 Lenovo XClarity Administrator（LXCA）添加为资源管理器，则 LXCO 每次与 LXCA 建立会话时都会对 LXCA 的凭证进行编码，然后写入内部 LXCO 日志文件。受影响的日志系在首次故障数据捕获（FFDC）服务日志中捕获。FFDC 服务日志仅在特权 LXCO 用户请求时生成，并且仅供发出请求的特权 LXCO 用户访问。解决方案: 应采取哪些措施进行自我保护： 更新到 Lenovo XClarity Orchestrator（LXCO）版本 1.2.2 或更高版本。 参考资料： LXCO 1.2.2 修复程序捆绑包：https://datacentersupport.lenovo.com/in/en/downloads/ds548879 LXCO 更新：https://support.lenovo.com/us/en/solutions/ht509976-lenovo-xclarity-orchestrator 修订历史： 修订版本：1 日期：2021-03-09 描述：初始版本 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。