Lenovo: kritische Schwachstellen in Barebone Firmware

Lenovo hat eine Sicherheitswarnung für seine Barebone Enclosures herausgegeben. Die Firmware der System Management Module (SMM v1 und v2) sowie des Fan Power Controller (FPC) weist kritische Schwachstellen aus, die zu Denial Of Service, Informationslecks und Privilegienerweiterungen führen können.

Die intern durchgeführte Produktsicherheitsüberprüfung deckte die folgenden Schwachstellen auf:

  • CVE-2024-2659 und CVE-2023-4855: Beide betreffen Befehlsinjektionen, die es authentifizierten Nutzern mit erhöhten Rechten ermöglichen könnten, Systembefehle auszuführen.
  • CVE-2023-4856: Eine Format-String-Schwachstelle, die die Ausführung willkürlicher Befehle ermöglichen könnte.
  • CVE-2023-4857: Eine Schwachstelle, die das Umgehen von Authentifizierungsverfahren ermöglicht und begrenzten Zugriff auf Systeminformationen geben könnte.

Lenovo empfiehlt Nutzern dringend, ihre Systeme durch ein Update auf die neuesten Firmware-Versionen zu schützen, die auf der Lenovo Support-Seite verfügbar sind. Nutzer sollten auch allgemeine Sicherheitsbest practices wie die Beschränkung des Zugriffs auf vertrauenswürdige Nutzer im Netzwerk beachten.

Betroffene Produkte umfassen verschiedene Modelle der System x, ThinkAgile und ThinkSystem Reihen. Für jedes betroffene Produkt gibt es spezifische Firmware-Versionen, die das Problem adressieren. Nutzer können diese auf den Lenovo Support-Webseiten für ihre spezifische Region und Produkttyp herunterladen.

Related Posts

Sicherheitslücke in Gunicorn WSGI: HTTP-Request-Schmuggel möglich

Im WSGI Webserver Gunicorn wurde eine schwere Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, HTTP-Requests zu manipulieren. Die Schwachstelle CVE-2024-1135 (CVSS 7.5 / 10), betrifft das unzureichende Validieren von Transfer-Encoding-Headern, was zu HTTP Request Smuggling (HRS) führen kann.

Read More

Sicherheitslücke in PuTTY kompromittiert Private SSH-Schlüssel

Eine kritische Sicherheitslücke wurde in den Versionen 0.68 bis 0.80 der beliebten SSH-Client-Software PuTTY entdeckt, die private SSH-Schlüssel, die mit der ECDSA P521-Kurve erstellt wurden, gefährdet. Dies betrifft neben Putty zahlreiche Systeme wie WinScp, FileZilla, TortoiseGit und TortoiseVPN.

Read More

TU Graz: WebGPU Schwachstelle erlaubt Datendiebstahl

April 2024 - Forscher der Technischen Universität Graz haben bedenkliche Sicherheitslücken in der Browser-Schnittstelle WebGPU entdeckt, die es ermöglichen, über Seitenkanalangriffe auf Grafikkarten Zugriff auf fremde Computer zu erhalten. Diese Angriffe sind so schnell, dass sie während normaler Internetnutzung unbemerkt bleiben könnten. Die Schnittstelle WebGPU, die zunehmend für rechenintensive Aufgaben in Webbrowsern verwendet wird, ermöglicht es, die Grafikkarte (GPU) eines Computers zu nutzen. Die Forscher des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie an der TU Graz konnten zeigen, dass durch manipuliertes JavaScript auf Websites Daten wie Tastatureingaben oder Verschlüsselungsschlüssel ausgespäht werden können. Folgende Angriffszenarieren sind laut den Forschern möglich:

Read More