Lenovo 安全公告：LEN-17904

潜在影响：

攻击者可能窃听加密的 SSH 或基于 https 的系统与服务器 XClarity Controller 之间的管理通信（Web UI、Redfish、CIM），或欺骗 XCC 从而捕获 XCC 的用户访问凭证。XCC 一般也称作基板管理控制器或 BMC。

严重性：关键

影响范围：全行业

摘要描述：

XClarity Controller 包含一个硬件随机数发生器，用于提供生成强加密密钥的熵。现已发现如果连续请求随机数过快或在设备启动后过短时间内请求，则可预测返回的数字。要获得合格的熵：

·  两个请求之间的间隔必须不小于两毫秒

·  必须至少放弃启动后生成的前 32 个值

当前 XCC 固件中不包含这些保护措施。这可能会降低 XCC 生成的密钥强度和安全性，例如 TLS 自签名证书密钥（用于保护 Web UI、Redfish、CIM 等基于 https 的通信）、临时 Web UI 会话密钥、临时 https 会话密钥、SSH 主机密钥等。

强烈建议更新该固件。更新后创建的所有密钥将使用适当的随机数据生成，因此将更为安全。

解决方案：

应采取哪些措施进行自我保护：

请参阅下面的“产品影响”部分，并更新至您的型号对应的 XCC 固件版本。

更新后，请生成新的加密密钥并替换旧密钥，包括自签名证书和基于 CSR 的外部签名证书。

产品影响：

仅以下 ThinkSystem 服务器受到影响。

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。