Lenovo 安全公告：LEN-2015-024

潜在影响：未经授权的访问；权限提升；拒绝服务；中间人（MitM）攻击

重要性：高

摘要：

我们发现 *50 系列 ThinkServer 的 ThinkServer System Manager（TSM）底板管理控制器中存在多个安全缺陷。这些缺陷已在内部安全审查期间发现并予以修正。强烈建议您升级到 TSM 的最新版本，我们将此视为一项重要更新。

描述：

内部安全审查发现，*50 系列 ThinkServer 的 ThinkServer System Manager（TSM）底板管理控制器中存在多个安全缺陷。 若被利用，这些缺陷可能会带来以下一项或多项安全影响：

未经授权的访问和权限提升：IPMI-over-LAN 中的已知漏洞或特别制作的备份文件得到恢复可能会允许未经授权的访问或导致权限提升

拒绝服务：在某些情况下，如果用户认证期间出现某个格式错误的 HTTP 输入组合，可能会导致 Web 用户界面崩溃

中间人攻击：建立加密的远程 KVM 会话时未执行服务器证书验证

我们已在 *50 系列 ThinkServer 的 TSM v1.27.73476 固件版本中修正了这些缺陷。此更新还包括其他内部代码改进，以便进一步增强 TSM 安全性。可通过以下链接找到 TSM 的最新版本：DS102390.

TSM v1.27.73476 固件版本是一项重要更新，我们强烈建议所有 ThinkServer *50 系列客户安装此版本。

解决方案:

缓解方法和最佳实践：

请参阅“Lenovo ThinkServer System Manager（TSM）安全性最佳实践”指南，了解如何防范本公告中描述的安全缺陷以及其他针对 TSM 的攻击。

受影响的产品：

ThinkServer RD350

ThinkServer RD450

ThinkServer RD550

ThinkServer RD650

ThinkServer TD350

备注:

致谢：无

其他信息和参考资料：

TSM 更新

Lenovo ThinkServer System Manager（TSM）安全性最佳实践

CVE ID：CVE-2015-3323、CVE-2015-3324

修订历史：