Lenovo 安全公告：LEN-14450

潜在影响：拒绝服务

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2017-3768

摘要描述：

已在某些 Lenovo 服务器使用的 Integrated Management Module 2（IMM2）中发现了漏洞，可连接到 IMM2 的未经授权攻击者可能会导致 IMM2 遭受拒绝服务攻击。通过 LXCA、OneCLI 和其他工具使用的通用信息模型（CIM）对包含大量认证错误的 IMM2 进行洪水攻击，这样会耗尽可导致 IMM2 自行重新引导的可用系统内存，直至请求结束。

除使用 TCP/5988（基于HTTP的WBEM/CIM）和 TCP/5989（基于HTTPS的WBEMS/CIM）的 CIM 之外的其他接口不受影响。

解决方案:

应采取哪些措施进行自我保护：

将 IMM2 固件更新为如下所示的最新版本，或限制 IMM2 的连接，如只允许连接可信的管理网络。

产品影响：

以下 Lenovo System x 产品受到影响。请更新到版本 4.4 或更高版本，只需单击此处即可。

Flex System x240 M4

Flex System x240 M5

Flex System x280 X6

Flex System x440 M4

Flex System x480 X6

Flex System x880

NeXtScale nx360 M5

System x3250 M6

System x3500 M5

System x3550 M5

System x3650 M5

System x3750 M4

System x3850 X6

System x3950 X6

以下 IBM System x 产品受到影响。请更新到版本 6.4 或更高版本，只需单击此处即可。

BladeCenter HS22

BladeCenter HS23

BladeCenter HS23E

Flex System x220 M4

Flex System x222 M4

Flex System x240 M4

Flex System x280 M4

Flex System x440 M4

Flex System x480 M4

Flex System x880 M4

iDataPlex dx360 M4

iDataPlex dx360 M4 Water Cooled

NeXtScale nx360 M4

System x3100 M4

System x3100 M5

System x3250 M4

System x3250 M5

System x3300 M4

System x3500 M4

System x3530 M4

System x3550 M4

System x3630 M4

System x3650 M4

System x3650 M4 BD

System x3650 M4 HD

System x3750 M4

System x3850 X6

System x3950 X6

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

修订历史：

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。