手机版
你好,游客 登录 注册
背景:
阅读新闻

联想和技嘉服务器固件存在安全漏洞

[日期:2019-07-19] 来源:Linux公社  作者:醉落红尘 [字体: ]

Eclypsium的研究人员披露了联想和技嘉(Gigabyte)服务器使用的BMC固件上发现的漏洞。此漏洞可用于将恶意程序嵌入到固件中,使得在格式化硬盘后难以检测或保留。但是要利用此漏洞,攻击者需要具有管理员权限。

Vertiv的MergePoint EMS底板管理控制器(BMC)固件存在此漏洞,该固件用于Lenovo的服务器产品和Gigabyte的服务器主板。研究人员于2018年7月向联想报告,联想于去年11月发布该补丁;今年3月,在Gigabyte主板的同一固件中发现了一个漏洞。

研究人员发现了两个问题,例如在固件更新之前缺少加密签名检查,以便攻击者可以安装恶意固件。 “其次,Vertiv的固件中存在一个shell命令注入漏洞,命名为CVE-2018-9086。如果您不想通过第一个漏洞制作恶意BMC固件映像进行安装,CVE-2018-9086将允许您通过其更新机制将shell命令直接注入BMC上运行的Linux环境,并更改其软件和脚本办法。”

via:theregister

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-07/159447.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款