Lenovo 安全公告：LEN-17538

潜在影响：执行任意代码

严重性：高

影响范围：全行业

CVE ID：CVE-2017-1000364、CVE-2017-1000366

摘要：

已发现运行 Cloudian HyperStore v6.2.1 之前版本的 Lenovo StorSelect DX8200C MT 5120 存在若干漏洞。

Lenovo StorSelect 是在 Lenovo x86 服务器上运行的一个软件定义存储（SDS）解决方案。

建议所有设备用户均阅读本文并为自己的 CentOS 6.8 采取必要行动。 Redhat 已通过 Linux glibc 和内核包报告了这些漏洞，并提供了补救方法。

· CVE-2017-1000364：已发现 Linux 上的堆栈保护页面大小有问题，特别是 4k 堆栈保护页面不够大，不能“跳”过（绕过堆栈保护页面），这将影响 Linux 内核版本 4.11.5 及更低版本（堆栈保护页面是在 2010 年引入的）。

· CVE-2017-1000366：glibc 中包含一个漏洞，可利用该漏洞使用特制的 LD_LIBRARY_PATH 值操纵堆/堆栈，从而导致其使用别名，因此可能执行任意代码。

· 已发现中 Cloudian 管理控制台 （CMC），其中系统管理员权限的恶意用户可以任意 OS 命令 HyperStore 节点通过运行 CMC 可能的安全漏洞。Cloudian HyperStore v6.2.1 及更高版本中已修复了这些问题。受影响的版本：Cloudian HyperStore v6.0.x、v6.1.x 和 v6.2。

应采取哪些措施进行自我保护：

· 按照以下 CVE 的 Red Hat 说明应用修复程序：

CVE-2017-1000364

CVE-2017-1000366

· 拥有许可证的 Lenovo StorSelect DX8200C 用户应访问 Cloudian 支持门户网站获取更多信息并下载修复程序。

对于有许可证的 StorSelect DX8200C 最终用户：https://cloudian-support.force.com/lenovo/50110000000EMp4

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。