Lenovo 安全公告：LEN-29116

潜在影响：权限提升

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2019-6195

摘要描述：

Lenovo XClarity Controller（XCC）中存在一种授权绕过机制，在下列情况下，该机制可能会为经过有效认证的低权限用户授予对高权限信息的只读访问权：1）XCC 配置并使用“仅 LDAP 认证（带本地授权）”模式，及 2）低权限用户在高权限用户注销后 1 分钟内登录 XCC。

如果 XCC 配置和使用“本地认证和授权”或“LDAP 认证和授权”模式，则不存在此授权绕过机制。

应采取哪些措施进行自我保护：

按照以下“产品影响”部分的建议，更新到 Lenovo XClarity Controller（XCC）版本 3.01 或更高版本。

产品影响：

Lenovo XClarity Controller（XCC）版本 3.01 TEI392O：https://datacentersupport.lenovo.com/us/en/downloads/DS542511

- 支持 Lenovo ThinkSystem SR850，机器类型：7X18、7X19

- 支持 Lenovo ThinkSystem SR860，机器类型：7X69、7X70

- 支持 Lenovo ThinkSystem SD530，机器类型：7X21

- 支持 Lenovo ThinkSystem SN550，机器类型：7X16

- 支持 Lenovo ThinkSystem SN850，机器类型：7X15

- 支持 Lenovo ThinkSystem SD650 DWC 双节点托盘，机器类型：7X58

- 支持 Lenovo ThinkSystem ST250/ST258，机器类型：7Y45、7Y46、7Y47

- 支持 Lenovo ThinkSystem SR150/SR158，机器类型：7Y54、7Y55

- 支持 Lenovo ThinkSystem SR250/SR258，机器类型：7Y51、7Y52、7Y72、7Y73、7Y53

- 支持 Lenovo ThinkAgile HX 系列，机器类型：7X82、7Y88、7Z03

- 支持 Lenovo ThinkAgile VX 系列，机器类型：7Y11、7Y12、7Y92

Lenovo XClarity Controller（XCC）版本 3.08 CDI340V：https://datacentersupport.lenovo.com/us/en/downloads/DS542512

- 支持 Lenovo ThinkSystem SR630，机器类型：7X01、7X02

- 支持 Lenovo ThinkSystem SR550，机器类型：7X03、7X04

- 支持 Lenovo ThinkSystem SR650，机器类型：7X05、7X06

- 支持 Lenovo ThinkSystem SR530，机器类型：7X07、7X08

- 支持 Lenovo ThinkSystem ST550，机器类型：7X09、7X10

- 支持 Lenovo ThinkSystem SR590，机器类型：7X98、7X99

- 支持 Lenovo ThinkSystem SR570，机器类型：7Y02、7Y03

- 支持 Lenovo ThinkSystem ST558，机器类型：7Y15、7Y16

- 支持 Lenovo ThinkAgile VX 系列，机器类型：7Y13、7Y14、7Y93、7Y94

- 支持 Lenovo ThinkAgile HX 系列，机器类型：7X83、YX84、7Y89、7Y90、7Z04、7Z05、7Z06、7Z07

- 支持 Lenovo ThinkAgile MX 认证节点，机器类型：7Z20、7D1H

Lenovo XClarity Controller（XCC）版本 1.71 PSI328N：https://datacentersupport.lenovo.com/us/en/downloads/DS542510

- 支持 Lenovo ThinkSystem SR950 服务器，机器类型：7X11、7X12、7X13、7Y95、7Y96、7Z08、7Z09