联想和技嘉服务器固件发现可利用的漏洞

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
联想和技嘉服务器固件发现可利用的漏洞

联想和技嘉服务器固件发现可利用的漏洞

2019年07月18日 20时42分

Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞,攻击者需要已经拥有管理员权限。漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器(BMC)固件内,该产品被用于联想的服务器产品和技嘉的服务器主板。研究人员在 2018 年 7 月报告给了联想,11 月联想释出了补丁;今年 3 月又在技嘉的主板相同固件内发现了漏洞。研究人员发现了两个问题,其一时固件更新前没有执行加密签名检查,因此可被攻击者安装恶意固件;其二是 shell 命令注入漏洞。

联想和技嘉服务器固件发现可利用的漏洞

随意打赏

服务器操作系统下载服务器漏洞联想系统
提交建议
微信扫一扫,分享给好友吧。