催更新Lenovo 安全公告:LEN-76573
潜在影响:远程执行代码
严重性:紧急
影响范围:全行业
CVE ID:CVE-2021-44228
摘要描述:
鉴于 Apache Log4j 广泛用于需要网络连接的产品,Lenovo 已识别到遍及全行业的安全问题,CVE ID 为 CVE-2021-44228。Lenovo 正在积极组织自身开发团队、合作伙伴和供应商进行合作,以确定可能的影响以及适当的缓解措施。单击此处可以查找有关 Lenovo 产品的最新信息。Lenovo 将随时面向相关行业公开新进展。
解决方案:
针对客户的缓解策略(应采取哪些措施进行自我保护):
适用于受影响应用程序的补丁将尽快发布。在补丁发布之前,客户可以遵循以下最新行业缓解措施,以降低漏洞风险,例如:
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
https://security-tracker.debian.org/tracker/CVE-2021-44228
参考资料:
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
https://security-tracker.debian.org/tracker/CVE-2021-44228
修订历史:
修订版本 | 日期 | 描述 |
5 | 2021-12-14 | 删除了适用于 VMware vCenter 的 LXCA 和 LXCI 的 Java 版本参考 |
4 | 2021-12-14 | 更新了“产品影响”部分 |
3 | 2021-12-13 | 更新了“产品影响”部分 |
2 | 2021-12-13 | 添加了“缓解策略”、“参考资料”和“产品影响”部分 |
1 | 2021-12-13 | 初始版本 |
要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。
最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。
产品影响:
受到影响
Lenovo DSS-G
Lenovo XClarity Administrator(LXCA)
Lenovo XClarity Energy Manager(LXEM)
适用于 VMware vCenter 的 Lenovo XClarity Integrator(LXCI)
适用于 VMware vSphere 的 NetApp ONTAP 工具 - 请参阅 NetApp 公告 -> https://security.netapp.com/advisory/ntap-20211210-0007/
ThinkAgile HX
- Nutanix 组件 - 请参阅 Nutanix 公告 -> https://download.nutanix.com/alerts/Security_Advisory_0023.pdf
- VMware 组件 - 请参阅 VMware 公告 -> https://www.vmware.com/security/advisories/VMSA-2021-0028.html
- 硬件不受影响
ThinkAgile VX
- VMware 组件 - 请参阅 VMware 公告 -> https://www.vmware.com/security/advisories/VMSA-2021-0028.html
- 硬件不受影响
正在调查
适用于 ServiceNow 的 Lenovo XClarity Integrator(LXCI)
适用于 Nagios 的 Lenovo XClarity Integrator(LXCI)
适用于 Microsoft Azure Log Analytics 的 Lenovo XClarity Integrator(LXCI)
存储管理实用程序
未受影响
BIOS/UEFI
Chassis Management Module 2(CMM)
Commercial Vantage
Confluent
基于 Java 的 KVM 嵌入式系统管理客户端
Fan Power Controller(FPC)
Fan Power Controller2(FPC2)
Integrated Management Module II(IMM2)
Lenovo System Update
Lenovo Thin Installer
Lenovo Update Retriever
Lenovo Vantage
Lenovo XClarity Orchestrator(LXCO)
Lenovo XClarity Mobile(LXCM)
适用于 Windows Admin Center 的 Lenovo XClarity Integrator(LXCI)
适用于 Microsoft System Center 的 Lenovo XClarity Integrator(LXCI)
Lenovo XClarity Controller(XCC)
Lenovo XClarity Essentials(LXCE)
Lenovo XClarity Provisioning Manager(LXPM)
运行以下系统的网络交换机
- Lenovo CNOS
- Lenovo ENOS
- IBM ENOS
- Brocade FOS
System Management Module(SMM)
System Management Module 2(SMM2)
ThinkSystem 2x1x16 Digital KVM Switch - 1754D1T 型
ThinkSystem DE 系列存储 - 请参阅 NetApp 公告 -> https://security.netapp.com/advisory/ntap-20211210-0007/
ThinkSystem DM 系列存储 - 请参阅 NetApp 公告 -> https://security.netapp.com/advisory/ntap-20211210-0007/
ThinkSystem DS 系列存储
ThinkSystem Manager(TSM)
0 
鎵爜鐧诲綍鏇村畨鍏�