Kommen in Cloud-Datenzentren Hyperscale-Systeme der ThinkSystem-Serie von Lenovo zum Einsatz, sollten Admins die Systeme aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen.
Die beiden Schwachstellen (CVE-2023-34329 „kritisch“, CVE-2023-34330 „hoch“) betreffen die Baseboard Management Controller (BMC) MegaRAC SP-X von AMI. Durch das Spoofen des HTTP-Headers kann ein Angreifer die Authentifizierung umgehen. Setzt er erfolgreich an der zweiten Schwachstelle an, kann über das Dynamic-Redfish-Interface Schadcode auf Systeme gelangen.
Wie aus einer Warnmeldung von Lenovo hervorgeht, sind davon konkret die folgenden Hyperscale-Systeme betroffen:
Die beiden Schwachstellen (CVE-2023-34329 „kritisch“, CVE-2023-34330 „hoch“) betreffen die Baseboard Management Controller (BMC) MegaRAC SP-X von AMI. Durch das Spoofen des HTTP-Headers kann ein Angreifer die Authentifizierung umgehen. Setzt er erfolgreich an der zweiten Schwachstelle an, kann über das Dynamic-Redfish-Interface Schadcode auf Systeme gelangen.
Wie aus einer Warnmeldung von Lenovo hervorgeht, sind davon konkret die folgenden Hyperscale-Systeme betroffen:
- ThinkSystem HR610X - abgesicherte Software 15.40
- ThinkSystem HR630X/HR650X - abgesicherte Software 11.53
- ThinkSystem HR630X_V2 - abgesicherte Software 1.52