Lenovo şu anda sunucu kasası ürün yazılımındaki güvenlik boşlukları konusunda uyarıda bulunuyor. Ayrıca, önyükleme yükleyicilerindeki güvenlik kusurları eski Lenovo bilgisayarların kurtarma bölümünü de etkiler.
Duyuru
Lenovo'nun güvenlik duyurusuna göre sunucu konteynerlerinde dört güvenlik açığı bulunuyor. evden bir tür barebone. Bunlar SMM ve SMM2 sistem yönetim modüllerinin yanı sıra makinelerin fan güç denetleyicisini (FPC) de etkiler. Biçim dizesi güvenlik açığı, kimliği doğrulanmış kullanıcıların belirli, açıklanmayan bir API uç noktasına karşı rastgele komutlar yürütmesine olanak tanır (CVE-2023-4856, CVSS) 8.8“Risk”yüksek“). Ayrıca kimliği doğrulanmış saldırganlar, kimlik doğrulamayı atlayabilir ve sistem bilgilerini ortaya çıkaran belirli IPMI çağrıları yapabilir (CVE-2023-4857, CVSS) 7.5, yüksek).
Lenovo'nun sistem yönetimi modülleri ve fan güç denetleyicilerindeki boşluklar
Yükseltilmiş haklara sahip kullanıcılar, IPMI (CVE-2023-4855, CVSS) aracılığıyla yetkisiz komutları da yürütebilir. 7.2, yüksek). Ayrıca yükseltilmiş ayrıcalıklara sahip saldırganlar belirli yönetim işlevlerinde sistem komutlarını çalıştırabilir (CVE-2024-2659, CVSS 7.2, yüksek).
“System” ürünleri, HX Node Sertifikalı Muhafaza (ThinkAgile) ve Muhafaza VX (ThinkAgile). Ayrıca “ThinkSystem” serisi D2 kasası, DA240 kasası ve DW612 kasası güvenlik kusurlarına sahiptir. Fan güç kontrolörlerinin yazılımı FHET62A-3.50 sürümünden itibaren düzeltildi; Lenovo Sistem Yönetim Modülü ürün yazılımı v1.24 için TESM40B-1.27 sürümü veya üstü mevcuttur. Ek olarak, UMSM12I-1.1.3 veya sonraki yazılım sürümü, Lenovo System Management Module 2 v1.05 ürün yazılımındaki kusurları giderir. Ürünü Lenovo destek web sitesinde aramaya girdikten sonra “Sürücüler ve Yazılım” altından indirilebilirler.
Eski Lenovo PC'lerdeki güvenlik açıkları
2012 ve 2014 yılları arasında Windows 7 ve Windows 8 yüklü olarak gönderilen Lenovo PC'lerin sistem kurtarma bölümü önyükleyicilerinde de iki güvenlik açığı bulunmaktadır. Bu cihazlar artık destek almamaktadır ancak yerel erişimi olan saldırganlar, önyükleme yöneticisini manipüle ederek ayrıcalıklarınızı artırabilir ( CVE-2024-23593, CVSS 6.7, orta) veya arabellek taşmasına neden olun ve rastgele kod yürütün (CVE-2024-23594, CVSS 6.4, orta). Kılık değiştirmiş bir lütuf: Lenovo cihazları artık destek almıyor, ancak Microsoft, sabit önyükleyicileri Nisan yama gününde yayınladı.
Lenovo, Ocak ayı ortasında güncellenmiş BIOS sürümlerini zaten göndermişti. AMI MegaRAC SPX BIOS'undaki güvenlik açıklarını kapattılar.
(Bilmiyorum)
Haberin Sonu
Duyuru
Lenovo'nun güvenlik duyurusuna göre sunucu konteynerlerinde dört güvenlik açığı bulunuyor. evden bir tür barebone. Bunlar SMM ve SMM2 sistem yönetim modüllerinin yanı sıra makinelerin fan güç denetleyicisini (FPC) de etkiler. Biçim dizesi güvenlik açığı, kimliği doğrulanmış kullanıcıların belirli, açıklanmayan bir API uç noktasına karşı rastgele komutlar yürütmesine olanak tanır (CVE-2023-4856, CVSS) 8.8“Risk”yüksek“). Ayrıca kimliği doğrulanmış saldırganlar, kimlik doğrulamayı atlayabilir ve sistem bilgilerini ortaya çıkaran belirli IPMI çağrıları yapabilir (CVE-2023-4857, CVSS) 7.5, yüksek).
Lenovo'nun sistem yönetimi modülleri ve fan güç denetleyicilerindeki boşluklar
Yükseltilmiş haklara sahip kullanıcılar, IPMI (CVE-2023-4855, CVSS) aracılığıyla yetkisiz komutları da yürütebilir. 7.2, yüksek). Ayrıca yükseltilmiş ayrıcalıklara sahip saldırganlar belirli yönetim işlevlerinde sistem komutlarını çalıştırabilir (CVE-2024-2659, CVSS 7.2, yüksek).
“System” ürünleri, HX Node Sertifikalı Muhafaza (ThinkAgile) ve Muhafaza VX (ThinkAgile). Ayrıca “ThinkSystem” serisi D2 kasası, DA240 kasası ve DW612 kasası güvenlik kusurlarına sahiptir. Fan güç kontrolörlerinin yazılımı FHET62A-3.50 sürümünden itibaren düzeltildi; Lenovo Sistem Yönetim Modülü ürün yazılımı v1.24 için TESM40B-1.27 sürümü veya üstü mevcuttur. Ek olarak, UMSM12I-1.1.3 veya sonraki yazılım sürümü, Lenovo System Management Module 2 v1.05 ürün yazılımındaki kusurları giderir. Ürünü Lenovo destek web sitesinde aramaya girdikten sonra “Sürücüler ve Yazılım” altından indirilebilirler.
Eski Lenovo PC'lerdeki güvenlik açıkları
2012 ve 2014 yılları arasında Windows 7 ve Windows 8 yüklü olarak gönderilen Lenovo PC'lerin sistem kurtarma bölümü önyükleyicilerinde de iki güvenlik açığı bulunmaktadır. Bu cihazlar artık destek almamaktadır ancak yerel erişimi olan saldırganlar, önyükleme yöneticisini manipüle ederek ayrıcalıklarınızı artırabilir ( CVE-2024-23593, CVSS 6.7, orta) veya arabellek taşmasına neden olun ve rastgele kod yürütün (CVE-2024-23594, CVSS 6.4, orta). Kılık değiştirmiş bir lütuf: Lenovo cihazları artık destek almıyor, ancak Microsoft, sabit önyükleyicileri Nisan yama gününde yayınladı.
Lenovo, Ocak ayı ortasında güncellenmiş BIOS sürümlerini zaten göndermişti. AMI MegaRAC SPX BIOS'undaki güvenlik açıklarını kapattılar.
(Bilmiyorum)
Haberin Sonu