Lenovo 安全公告：LEN-66347 

潜在影响：命令注入

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2021-3723

摘要描述：

早期的 IBM System x 3550 M3 和 IBM System x 3650 M3 服务器的集成管理模块（IMM）中发现了一个漏洞，该漏洞可能允许通过经认证的 SSH 或 Telnet 会话执行操作系统命令，从而导致命令注入。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

Lenovo 已于 2019 年 12 月 31 日终止对早期 IBM System x 3550 M3 和 IBM System x 3650 M3 服务器的支持，故建议停止使用前述服务器。

如果不方便停止使用前述系统，Lenovo 建议客户：

• 禁用 SSH 和 Telnet（登录到 IMM Web 界面，前往导航窗格的安全和网络协议部分即可操作）


• 在初始配置过程中更改默认管理员密码


• 强制执行强密码


• 仅向受信任的管理员授予访问权限

致谢：

Lenovo 谨对报告此问题的 Denver Abrey（@Denver_A）表示感谢。

参考资料：

《IMM 用户指南》：https://download.lenovo.com/servers/mig/systems/support/system_x_pdf/00wa171_en.pdf

IBM 服务终止公告：https://www-01.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/8/760/ENUSJS19-0018/index.html&lang=en&request_locale=en

Lenovo 服务终止公告：https://datacentersupport.lenovo.com/us/en/products/servers/system-x/system-x3650/solutions/ht504708-lenovo-end-of-service-dates-for-serversstoragenetworking-products

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。