Sicherheitsupdates: Sicherheitslücken bedrohen Hyperscale-Systeme von Lenovo
Angreifer könnten zwei Sicherheitslücken in Hyperscale-Systemen von Lenovo ausnutzen und Schadcode ausführen.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/2/7/7/0/3/2/shutterstock_1024271563-f0fce7b24faab392.jpeg)
(Bild: AFANASEV IVAN/Shutterstock.com)
Kommen in Cloud-Datenzentren Hyperscale-Systeme der ThinkSystem-Serie von Lenovo zum Einsatz, sollten Admins die Systeme aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen.
Die beiden Schwachstellen (CVE-2023-34329 „kritisch“, CVE-2023-34330 „hoch“) betreffen die Baseboard Management Controller (BMC) MegaRAC SP-X von AMI. Durch das Spoofen des HTTP-Headers kann ein Angreifer die Authentifizierung umgehen. Setzt er erfolgreich an der zweiten Schwachstelle an, kann über das Dynamic-Redfish-Interface Schadcode auf Systeme gelangen.
Wie aus einer Warnmeldung von Lenovo hervorgeht, sind davon konkret die folgenden Hyperscale-Systeme betroffen:
- ThinkSystem HR610X - abgesicherte Software 15.40
- ThinkSystem HR630X/HR650X - abgesicherte Software 11.53
- ThinkSystem HR630X_V2 - abgesicherte Software 1.52
(des)