【安全公告】LEN-66347 早期 IBM System x IMM 命令注入漏洞-联想乐享知识库

【安全公告】LEN-66347 早期 IBM System x IMM 命令注入漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-66347 潜在影响：命令注入 严重性：高 影响范围：Lenovo 特定产品 CVE ID：CVE-2021-3723 摘要描述： 早期的 IBM System x 3550 M3 和 IBM System x 3650 M3 服务器的集成管理模块（IMM）中发现了一个漏洞，该漏洞可能允许通过经认证的 SSH 或 Telnet 会话执行操作系统命令，从而导致命令注入。 解决方案: 针对客户的缓解策略（应采取哪些措施进行自我保护）： Lenovo 已于 2019 年 12 月 31 日终止对早期 IBM System x 3550 M3 和 IBM System x 3650 M3 服务器的支持，故建议停止使用前述服务器。 如果不方便停止使用前述系统，Lenovo 建议客户： 禁用 SSH 和 Telnet（登录到 IMM Web 界面，前往导航窗格的安全和网络协议部分即可操作） 在初始配置过程中更改默认管理员密码 强制执行强密码 仅向受信任的管理员授予访问权限 致谢： Lenovo 谨对报告此问题的 Denver Abrey（@Denver_A）表示感谢。 参考资料： 《IMM 用户指南》：http://download.lenovo.com/servers/mig/systems/support/system_x_pdf/00wa171_en.pdf IBM 服务终止公告：https://www-01.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/8/760/ENUSJS19-0018/index.html&lang=en&request_locale=en Lenovo 服务终止公告：https://datacentersupport.lenovo.com/us/en/products/servers/system-x/system-x3650/solutions/ht504708-lenovo-end-of-service-dates-for-serversstoragenetworking-products 修订历史： 修订版本 日期 描述 1 2021-09-14 初始版本 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。