【安全公告】LEN-73439 Lenovo Personal Cloud Storage 漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告:LEN-73439 潜在影响:信息泄露、权限提升、命令注入 严重性:高 影响范围:Lenovo 特有的产品 CVE ID:CVE-2021-42848、CVE-2021-42849、CVE-2021-42850、CVE-2021-42851、CVE-2021-42852 摘要描述: Lenovo Personal Cloud Storage 设备中报告了以下漏洞。 CVE-2021-42848:Lenovo Personal Cloud Storage 设备中报告了一个信息泄露漏洞,该漏洞可能允许未经认证的用户检索设备和网络详细信息。 CVE-2021-42849:Lenovo Personal Cloud Storage 设备中报告了串口具有弱默认密码,可能允许未经授权的攻击者对设备进行物理访问。 CVE-2021-42850:Lenovo Personal Cloud Storage 设备中报告了 Web 界面和串口具有弱默认管理员密码,可能允许未经授权的攻击者物理访问或通过本地网络访问设备。 CVE-2021-42851:Lenovo Personal Cloud Storage 设备中报告了一个漏洞,该漏洞可能允许未经认证的用户创建标准用户帐户。 CVE-2021-42852:Lenovo Personal Cloud Storage 设备中报告了一个命令注入漏洞,该漏洞可能允许经过认证的用户通过向设备发送伪造的数据包来执行操作系统命令。 解决方案: 针对客户的缓解策略(应采取哪些措施进行自我保护): 更新到以下产品表格中列出的 Lenovo Personal Cloud Storage 设备固件版本。 产品名称 修复固件版本 A1 5.3.6.a1 T1 5.3.6.t1 X1 5.3.8.x1 T2 5.3.8.t2 T2Pro 5.3.7.t2-pro 致谢: Lenovo 谨对报告上述问题的 Kais 和 KT(来自 360 Vulcan Team)表示感谢。 修订历史: 修订版本 日期 描述 1 2021-11-09 初始版本
【安全公告】LEN-73439 Lenovo Personal Cloud Storage 漏洞-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 【安全公告】LEN-73439 Lenovo Personal Cloud Storage 漏洞 的常见问题,包括:Lenovo Personal Cloud Storage 设备哪些固件版本受影响?、Lenovo Personal Cloud Storage 如何修复 LEN-73439 公告中披露的漏洞?等。
内容来源:联想官方
常见问题解答
Lenovo Personal Cloud Storage 设备哪些固件版本受影响?
所有低于修复版本的固件均受影响。具体修复版本为:A1 型号需更新至 5.3.6.a1,T1 型号需更新至 5.3.6.t1,X1 型号需更新至 5.3.8.x1,T2 型号需更新至 5.3.8.t2,T2Pro 型号需更新至 5.3.7.t2-pro。用户应通过联想官方渠道下载对应型号的固件并执行固件升级。
📥 下载方式:请访问 [联想官方支持](https://support.lenovo.com/us/zh/) 页面,输入产品型号搜索,即可找到对应的驱动、手册和固件下载。
📥 下载方式:请访问 [联想官方支持](https://support.lenovo.com/us/zh/) 页面,输入产品型号搜索,即可找到对应的驱动、手册和固件下载。
Lenovo Personal Cloud Storage 如何修复 LEN-73439 公告中披露的漏洞?
需将设备固件更新至对应型号的修复版本:A1 更新至 5.3.6.a1,T1 更新至 5.3.6.t1,X1 更新至 5.3.8.x1,T2 更新至 5.3.8.t2,T2Pro 更新至 5.3.7.t2-pro。请通过联想官方网站获取固件包,并按照说明完成固件升级。