所属分类 > 病毒与安全 > 漏洞与防护 > 【安全公告】LEN-66347 早期 IBM System x IMM 命令注入漏洞

【安全公告】LEN-66347 早期 IBM System x IMM 命令注入漏洞

. 2021-09-30 11:13:40 | 知识编号: 199219

故障现象:

Lenovo 安全公告:LEN-66347 


潜在影响:命令注入


严重性


影响范围:Lenovo 特定产品


CVE IDCVE-2021-3723


 


摘要描述:


 


早期的 IBM System x 3550 M3 IBM System x 3650 M3 服务器的集成管理模块(IMM)中发现了一个漏洞,该漏洞可能允许通过经认证的 SSH Telnet 会话执行操作系统命令,从而导致命令注入。


 


解决方案:

针对客户的缓解策略(应采取哪些措施进行自我保护):


Lenovo 已于 2019 12 31 日终止对早期 IBM System x 3550 M3 IBM System x 3650 M3 服务器的支持,故建议停止使用前述服务器。


如果不方便停止使用前述系统,Lenovo 建议客户:



  • 禁用 SSH Telnet(登录到 IMM Web 界面,前往导航窗格的安全网络协议部分即可操作)

  • 在初始配置过程中更改默认管理员密码

  • 强制执行强密码

  • 仅向受信任的管理员授予访问权限


 


致谢:


Lenovo 谨对报告此问题的 Denver Abrey@Denver_A)表示感谢。


 


参考资料:


 


IMM 用户指南》:http://download.lenovo.com/servers/mig/systems/support/system_x_pdf/00wa171_en.pdf


IBM 服务终止公告:https://www-01.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/8/760/ENUSJS19-0018/index.html&lang=en&request_locale=en


Lenovo 服务终止公告https://datacentersupport.lenovo.com/us/en/products/servers/system-x/system-x3650/solutions/ht504708-lenovo-end-of-service-dates-for-serversstoragenetworking-products


 


修订历史:
















修订版本



日期



描述



1



2021-09-14



初始版本



要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。