sábado, 18 de abril de 2015

Vulnerabilidades descubiertas en Lenovo ThinkServer *50-SERIES

Lenovo ha reportado tres vulnerabilidades que afectan a productos de la familia Lenovo ThinkServer *50-SERIES. Estos problemas permitirían a atacantes remotos causar ataques 'Man-in-the-Middle', conseguir privilegios y en casos concretos provocar una denegación de servicio.

Los productos de la familia Lenovo ThinkServer *50-SERIES son servidores de torre especialmente dedicadas para bases de datos pequeñas, tareas de virtualización y aplicaciones típicas de oficinas. Con un diseño reducido y silencioso, estos servidores están fabricados para soportar condiciones extremas, cumpliendo los requisitos de fiabilidad de los estándares más exigentes.

Se ven afectados los productos ThinkServer RD350, RD450, RD550, RD650 y TD350. La primera de las vulnerabilidades, con CVE-2015-3322, se debe a un cifrado muy débil de las contraseñas de usuario y administrador de la BIOS. Esto puede ser aprovechado por un atacante para descifrar dichas contraseñas a través de vectores no especificados. Se recomienda actualizar la BIOS a la versión (V1.26.0) disponible desde: http://support.lenovo.com/us/en/product_security/ts_bios_pw

La siguiente vulnerabilidad, con CVE-2015-3323, reside en el software ThinkServer System Manager (TSM). Un atacante remoto podría causar una denegación de servicio a través del envío de paquetes HTTP especialmente manipulados.

Por último, el CVE-2015-3324, en la que un atacante remoto podría realizar un ataque 'Man-in-the-Middle' también en el componente ThinkServer System Manager (TSM). Esto podría ser debido a un error de validación de certificados de servidor durante el establecimiento de sesiones remotas KVM cifradas.
Para estas dos últimas vulnerabilidades se recomienda actualizar (TSM) a la versión TSM v1.27.7347. Disponible desde:

Más información:

Lenovo Product Security Advisories

ThinkServer *50-series BIOS Password Encryption Weakness

Multiple ThinkServer System Manager (TSM) *50-series Security Weaknesses



Juan Sánchez

No hay comentarios:

Publicar un comentario en la entrada