Lenovo 安全公告：LEN-49884

潜在影响：信息泄露

严重性：中

影响范围：Lenovo 特定产品

CVE ID：CVE-2020-8356、CVE-2021-3417

摘要描述：

Lenovo XClarity Orchestrator（LXCO）中发现以下漏洞。

CVE-2020-8356：LXCO 的内部产品安全审核发现，Syslog 和 SMTP 转发器的可选密码（如果已指定）会以明文形式写入内部 LXCO 日志文件。受影响的日志系在首次故障数据捕获（FFDC）服务日志中捕获。FFDC 服务日志仅在特权 LXCO 用户请求时生成，并且仅供发出请求的特权 LXCO 用户访问。

CVE-2021-3417：LXCO 的内部产品安全审核发现，如果将 Lenovo XClarity Administrator（LXCA）添加为资源管理器，则 LXCO 每次与 LXCA 建立会话时都会对 LXCA 的凭证进行编码，然后写入内部 LXCO 日志文件。受影响的日志系在首次故障数据捕获（FFDC）服务日志中捕获。FFDC 服务日志仅在特权 LXCO 用户请求时生成，并且仅供发出请求的特权 LXCO 用户访问。

应采取哪些措施进行自我保护：

更新到 Lenovo XClarity Orchestrator（LXCO）版本 1.2.2 或更高版本。

参考资料：

LXCO 1.2.2 修复程序捆绑包：https://datacentersupport.lenovo.com/in/en/downloads/ds548879

LXCO 更新：https://support.lenovo.com/us/en/solutions/ht509976-lenovo-xclarity-orchestrator

修订历史：

修订版本：1

日期：2021-03-09

描述：初始版本

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。