Lenovo 安全公告：LEN-23806

潜在影响：信息泄露；硬编码加密密钥

严重性：中

影响范围：Lenovo 特有的产品

CVE ID： CVE-2018-9071、CVE-2018-9073

摘要：

在最近一次内部审核中，Lenovo 发现 Flex System Chassis 中的 Lenovo Chassis Management Module（CMM）存在潜在安全漏洞。其中包括以下问题：

CVE-2018-9071：CMM 允许未认证的用户检索与当前认证配置设置相关的信息。曝露的设置与密码长度、过期限制和锁定配置有关。

CVE-2018-9073：CMM 利用一个硬编码加密密钥来保护某些机密。如果已入侵服务器的攻击者拥有该密钥，可能可以对这些机密进行解密。

应采取哪些措施进行自我保护：

Lenovo 建议客户将其 CMM 固件更新到版本 2.0.0 或更高。此固件适用于 Flex System Enterprise Chassis（TM）系统：使用 Lenovo Chassis Management Module 2（CMM2）硬件的系统 8721（全部）、7893（全部）、8724（全部）、7953（全部）、7385（全部）。

客户应只将 CMM 连接到受信任的管理网络，并只允许受信任的管理员来管理 CMM。