催更新Lenovo 安全公告:LEN-20227
潜在影响:信息泄露
严重性:中
影响范围:Lenovo 特有的产品
CVE ID:CVE-2018-9068
摘要描述:
检测到硬件错误时,IMM2 首次故障数据捕获功能会收集管理模块日志和诊断信息。此信息可通过 IMM2 管理网络接口上托管的 SFTP 服务器下载。访问该 SFTP 服务器的凭证为硬编码,且在 IMM2 文档中有所描述,因此可能导致具有管理网络访问权限的攻击者获得收集到的 FFDC 数据。
解决方案:
应采取哪些措施进行自我保护:
更新到“产品影响”部分中针对您的产品型号列出的 IMM2 固件版本(或更高版本)。应用此更新后,IMM2 将创建随机 SFTP 凭据以用于 OneCLI。
产品影响:
以下联想System x产品受到影响。点击这里更新到4.90或更高版本。
Flex System x240 M4
Flex System x240 M5
Flex System x280 X6
Flex System x440 M4
Flex System x480 X6
Flex System x880
NeXtScale nx360 M5
System x3250 M6
System x3500 M5
System x3550 M5
System x3650 M5
System x3750 M4
System x3850 X6
System x3950 X6
以下IBM System x产品受到影响。点击这里更新到版本6.80或更高。
BladeCenter HS22
BladeCenter HS23
BladeCenter HS23E
Flex System x220 M4
Flex System x222 M4
Flex System x240 M4
Flex System x280 M4
Flex System x440 M4
Flex System x480 M4
Flex System x880 M4
iDataPlex dx360 M4
iDataPlex dx360 M4 Water Cooled
NeXtScale nx360 M4
System x3100 M4
System x3100 M5
System x3250 M4
System x3250 M5
System x3300 M4
System x3500 M4
System x3530 M4
System x3550 M4
System x3630 M4
System x3650 M4
System x3650 M4 BD
System x3650 M4 HD
System x3750 M4
System x3850 X6
System x3950 X6
0 
鎵爜鐧诲綍鏇村畨鍏�