故障现象

Lenovo 安全公告：LEN-136592

潜在影响：信息泄露

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2023-4605

摘要描述：

内部产品安全审核期间发现以下漏洞：

经过认证的有效 Lenovo XClarity Administrator（LXCA）用户可能会利用未经认证的 API 端点来检索系统事件信息。这仅影响 LXCA版本3.6.x和4.0.x。CVE-2023-4605

LXCA 3.6.28 和 4.0.24 GA 修复程序中采用具有更低远程控制权限级别的安全增强功能。未提供CVE

Lenovo XClarity Administrator（LXCA）提供远程控制功能，可启动与托管服务器的会话，模拟本地服务器控制台体验。此功能利用 XClarity Controller（XCC）远程控制台/安装功能来执行打开或关闭服务器电源以及安装本地或远程驱动器等操作。LXCA 将远程控制功能视为具有提升权限的 LXCA 用户的特权操作，具体如下所述。

作为一项特权功能，LXCA 使用经有效配置的管理级别 XCC 帐户来启动远程控制台/安装 XCC 会话。然而，XCC 却支持使用更低的权限级别来执行远程控制台/安装操作。LXCA 所使用的管理级别 XCC 帐户可能会授予 LXCA 用户超出远程控制台/安装功能正常需要的 XCC 实例访问权限。该问题的解决办法是让 LXCA 使用权限级别较低的 XCC 帐户来执行远程控制功能。

包含 mm-remote-console-and-virtual-media-access-v1 或 mm-blade-remote-presence-v2 权限的 LXCA 角色可授予 LXCA 用户对托管服务器的远程控制/安装访问权限。默认情况下，包含这些权限的角色包括 lxc-admin、lxc-security-admin、lxc-fw-admin、lxc-os-admin、lxc-hw-admin、lxc-hw-manager、lxc-service-admin 和 lxc-supervisor。

此安全增强功能没有相应的 CVE，因为它不代表 LXCA 或 XCC 中的漏洞，也不影响任一产品的机密性、完整性或可用性，因为每个产品都使用经有效配置的帐户按预期运行。该功能仅视为 LXCA 的一个弱点（CWE-250：使用不必要的权限执行）。建议用户升级到 LXCA 3.6.28 或 4.0.24 或更高版本。

 

解决方案

将 Lenovo XClarity Administrator（LXCA）更新到以下“产品影响”部分中建议的版本（或更高版本）。

遵循常规安全最佳实践，例如仅允许环境中受信任的用户进行访问。

仅向受信任的管理用户授予 LXCA 远程控制台/安装权限。

 

产品影响：

要下载以下专为您的产品指定的版本，请执行以下步骤：

导航到您的产品的 Drivers & Software（驱动程序和软件）支持站点：

• Lenovo 产品（全球销售，中国除外）：https://support.lenovo.com/
• Lenovo 产品（中国销售）：https://newsupport.lenovo.com.cn/
• IBM 品牌的早期 System x 产品：https://www.ibm.com/support/fixcentral/

1. 按名称或机器类型搜索产品。
2. 单击左侧菜单面板上的 Drivers & Software（驱动程序和软件）。
3. 单击 Manual Update（手动更新）按组件类型浏览。
4. 将以下产品适用表中适合您的产品的最低修复版本与支持站点上发布的最新版本进行对比。

Lenovo 还提供了更新管理辅助工具，可替代上述手动步骤。如需其他帮助，请参考以下资源：

PC 产品和软件：https://support.lenovo.com/us/en/solutions/ht504759

服务器和企业软件：https://support.lenovo.com/us/en/solutions/lnvo-lxcaupd 和 https://datacentersupport.lenovo.com/us/en/documents/lnvo-center

 

修订历史：

修订版本	日期	描述
1	2024-01-09	初始版本

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。