{"id":6623,"date":"2024-04-16T11:21:59","date_gmt":"2024-04-16T11:21:59","guid":{"rendered":"https:\/\/byte-bucket.com\/2024\/04\/16\/lenovo-warnt-vor-firmware-sicherheitsluecken-in-server-enclosures-und-bootloadern-aelterer-pcs\/"},"modified":"2024-04-16T11:21:59","modified_gmt":"2024-04-16T11:21:59","slug":"lenovo-warnt-vor-firmware-sicherheitsluecken-in-server-enclosures-und-bootloadern-aelterer-pcs","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=6623","title":{"rendered":"Lenovo warnt vor Firmware-Sicherheitsl\u00fccken in Server-Enclosures und Bootloadern \u00e4lterer PCs"},"content":{"rendered":"

Lenovo warnt derzeit vor Sicherheitsl\u00fccken in der Firmware von Server-Enclosures und den Bootloadern \u00e4lterer Lenovo-PCs. Das Unternehmen hat eine Sicherheitsmitteilung ver\u00f6ffentlicht, in der auf insgesamt vier Schwachstellen hingewiesen wird.<\/p>\n

Die betroffenen Server-Enclosures weisen Schwachstellen in den System-Management-Modulen SMM und SMM2 sowie im Fan Power Controller (FPC) auf. Eine dieser Schwachstellen erm\u00f6glicht es authentifizierten Benutzern, beliebige Befehle auf einem nicht n\u00e4her benannten API-Endpunkt auszuf\u00fchren. Dies stellt ein erhebliches Risiko dar. Dar\u00fcber hinaus k\u00f6nnen b\u00f6sartige Benutzer die Authentifizierung umgehen und bestimmte Systeminformationen preisgeben. Benutzer mit erh\u00f6hten Rechten k\u00f6nnen auch unbefugt Befehle \u00fcber das IPMI-Protokoll ausf\u00fchren. Des Weiteren k\u00f6nnen Angreifer mit erh\u00f6hten Rechten bei bestimmten administrativen Funktionen Systembefehle ausf\u00fchren.<\/p>\n

Von den Sicherheitsl\u00fccken betroffen sind verschiedene Produkte, darunter das n1200 Enclosure (NeXtScale), das n1200 water-cooled Enclosure (NeXtScale) und Modelle der ThinkAgile-Reihe wie CP-CB-10 und CP-CB-10E, HX Enclosure Certified Node (ThinkAgile) und VX Enclosure (ThinkAgile). Auch Produkte der ThinkSystem-Serie wie das D2 Enclosure, das DA240 Enclosure und das DW612 Enclosure sind betroffen.<\/p>\n

Lenovo hat Firmware-Updates ver\u00f6ffentlicht, um die Sicherheitsl\u00fccken zu schlie\u00dfen. Die betroffenen Produkte erfordern unterschiedliche Versionen der aktualisierten Firmware. F\u00fcr den Fan Power Controller wird die Version FHET62A-3.50 oder h\u00f6her empfohlen. F\u00fcr die Lenovo System Management Module wird die Version TESM40B-1.27 oder h\u00f6her empfohlen. F\u00fcr die Lenovo System Management Module 2 wird die Version UMSM12I-1.1.3 oder h\u00f6her empfohlen. Die erforderlichen Software-Updates k\u00f6nnen auf der Lenovo-Support-Website in der Kategorie „Treiber & Software“ heruntergeladen werden. Daf\u00fcr muss das entsprechende Produkt im Suchfeld eingegeben werden.<\/p>\n

Neben den Sicherheitsl\u00fccken in der Firmware haben Lenovo und Microsoft auch vor zwei Sicherheitsl\u00fccken in den Bootloadern \u00e4lterer Lenovo-PCs gewarnt. Diese betreffen Lenovo-PCs, die zwischen 2012 und 2014 mit Windows 7 und Windows 8 ausgeliefert wurden. Angreifer mit physischem Zugriff k\u00f6nnten den Boot-Manager manipulieren und dadurch ihre Berechtigungen erweitern. Zudem k\u00f6nnten sie einen Puffer\u00fcberlauf ausl\u00f6sen und beliebigen Code ausf\u00fchren. Gl\u00fccklicherweise hat Microsoft bereits korrigierte Bootloader ver\u00f6ffentlicht.<\/p>\n

Schlagw\u00f6rter: CVSS + Lenovo + ThinkAgile<\/p>\n","protected":false},"excerpt":{"rendered":"

Lenovo warnt derzeit vor Sicherheitsl\u00fccken in der Firmware von Server-Enclosures und den Bootloadern \u00e4lterer Lenovo-PCs. Das Unternehmen hat eine Sicherheitsmitteilung ver\u00f6ffentlicht, in der auf insgesamt vier Schwachstellen hingewiesen wird. Die betroffenen Server-Enclosures weisen Schwachstellen in den System-Management-Modulen SMM und SMM2 sowie im Fan Power Controller (FPC) auf. Eine dieser Schwachstellen...<\/p>\n","protected":false},"author":4,"featured_media":6622,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6623","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/6623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6623"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/6623\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/6622"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}