Lenovo vá lỗ hổng Secure Boot trong các máy chủ

Linh Anh| 10/05/2018 16:53
Theo dõi ICTVietnam trên

Lenovo đã phát hành bản vá cho một lỗ hổng nghiêm trọng cao ảnh hưởng đến tính năng bảo mật Secure Boot trên một số máy chủ System x.

Việc khai thác lỗ hổng bảo mật này có thể dẫn tới việc khởi động mã không được xác thực. Lỗ hổng được nhóm kiểm thử nội bộ của Lenovo phát hiện và được xác định là CVE-2017-3775. Nó gây ảnh hưởng tới hàng model, bao gồm các phiên bản Flex System x240 M5, x280 X6, x480 X6, x880, x3xxx và các thiết bị NeXtScale nx360 M5.

Theo nhà sản xuất, việc kiểm thử nội bộ của Lenovo đã phát hiện ra một số phiên bản BIOS/UEFI của máy chủ System x khi người quản trị hệ thống bật chế độ Secure Boot, nó không xác thực đúng mã đã ký (signed code) trước khi được khởi động. Kết quả là tin tặc với truy cập vật lý tới hệ thống có thể khởi động mã không được ký.

Công ty cho biết, khả năng các hệ thống với tính năng Secure Boot này bị vô hiệu hóa theo mặc định, vì mã đã ký là tương đối mới trong môi trường trung tâm dữ liệu, hơn nữa, các cấu hình vận hành chuẩn không đủ khả năng kiểm tra chữ ký.

Nhà sản xuất máy tính đã công bố danh sách đầy đủ những model bị ảnh hưởng và các liên kết tới bản cập nhật BIOS/UEFI phù hợp cho từng model. Công ty khuyên các quản trị viên dựa vào Secure Boot cần kiểm soát truy nhập vật lý vào các hệ thống trước khi áp dụng các bản cập nhật.

Lenovo cũng phát hành bản vá cho lỗi tràn bộ đệm trong Lenovo System Update Drive Mapping Utility. Lỗ hổng có tên là CVE-2018-9063, có thể gây ra những hoạt động không xác định, chẳng hạn như thực thi mã tùy ý.

Lỗ hổng này được phát hiện bởi SaifAllah benMassaoud, được xếp vào loại có mức độ nghiêm trọng trung bình và có thể bị tin tặc khai thác lỗ hổng bằng cách nhập ID hoặc mật khẩu người dùng gây tràn bộ đệm của chương trình. Tin tặc có thể thực thi mã với các đặc quyền của MapDrv.

Ngoài ra, Lenovo System Update phiên bản 5.07.0072 hoặc mới hơn xử lý lỗ hổng và người dùng được khuyến cáo nên cập nhật ứng dụng để duy trì việc bảo vệ. Để xác định phiên bản cài đặt hiện tại của Lenovo System Update, người dùng nên khởi chạy ứng dụng, nhấn vào dấu chấm hỏi màu xanh ở góc trên cùng bên phải sau đó chọn “About”.

Lenovo System Update cũng tự động kiểm tra phiên bản mới hơn khi được khởi chạy và người dùng chỉ cần mở ứng dụng và chấp nhận cập nhật khi được nhắc. Cập nhật thủ công cũng được hỗ trợ bằng việc tải về phiên bản ứng dụng mới nhất từ trang web của Lenovo.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Tập đoàn VNPT tăng trưởng 7% năm 2024
    Năm 2024, mặc dù thị trường viễn thông - công nghệ thông tin gặp khá nhiều khó khăn, song với nhiều nỗ lực và quyết tâm cao, Tập đoàn VNPT vẫn giữ vững thị phần với các dịch vụ trọng điểm, tối ưu chi phí, để doanh thu, lợi nhuận toàn Tập đoàn được duy trì và tăng trưởng so với cùng kỳ.
  • Hướng tới vinh danh các "Sản phẩm công nghệ số Make in Viet Nam” 2024
    Giải thưởng "Sản phẩm công nghệ số Make in Viet Nam" là giải thưởng vinh danh những sản phẩm, giải pháp, nền tảng xuất sắc, tiêu biểu, thể hiện năng lực của doanh nghiệp Việt và người Việt trong việc làm chủ về công nghệ, chủ động thiết kế, chế tạo các sản phẩm công nghệ số.
  • 5,5 tỷ người trên thế giới sử dụng Internet
    Theo báo cáo mang tên “Thực tế và Con số 2024” của Liên minh Viễn thông Quốc tế (ITU), năm 2024 đã có thêm 227 triệu người được tiếp cận Internet, nâng tổng số người sử dụng Internet lên 5,5 tỷ người, chiếm 68% dân số toàn cầu.
  • Bưu điện hợp tác với công ty hàng đầu Hàn Quốc về công nghệ, sàn giao dịch dữ liệu
    Tổng công ty Bưu điện Việt Nam (Vietnam Post) và Công ty DataStreams Corp (DataStreams) hợp tác trong lĩnh vực công nghệ dữ liệu nhằm khai thác sức mạnh dữ liệu để nâng cao hiệu quả hoạt động, tăng cường năng lực cạnh tranh và mang lại giá trị gia tăng cho khách hàng.
  • Chấn chỉnh, đảm bảo hoạt động bán hàng đa cấp diễn ra trong khuôn khổ pháp luật
    Các hoạt động bán hàng đa cấp ngày càng biến tướng ti vi dưới nhiều hình thức. Đây là lĩnh vực kinh doanh nhạy cảm, dễ bị biến tướng thành các hoạt động lừa đảo, huy động tài chính bất hợp pháp, gây hệ lụy xấu trên quy mô lớn cho xã hội.
Đừng bỏ lỡ
Lenovo vá lỗ hổng Secure Boot trong các máy chủ
POWERED BY ONECMS - A PRODUCT OF NEKO