联想(Lenovo)修补了服务器中的安全启动漏洞

联想发布了一些高严重性漏洞的修补程序，这些漏洞会影响某些System x服务器上的安全引导功能。

利用此安全漏洞可能会导致未经身份验证的代码被引导。该计算机制造商的内部测试团队发现并且被追踪为CVE-2017-3775，该问题影响了包括Flex System x240 M5，x280 X6，x480 X6，x880，x3xxx系列和NeXtScale nx360 M5设备在内的十多种型号。

“联想内部测试发现了一些System x服务器BIOS / UEFI版本，当系统管理员启用安全引导模式时，在启动之前不要正确验证签名代码。因此，对系统进行物理访问的攻击者可以引导未签名的代码，“制造商指出。

这些系统在默认情况下禁用安全启动，因为在数据中心环境中，签名代码是相对较新的，公司称，标准操作员配置禁用签名检查。

在其咨询中，电脑制造商不仅发布了受影响型号的完整列表，而且还发布了针对每种型号的适当BIOS / UEFI更新的链接。该公司建议依靠安全引导的管理员在应用更新之前控制对系统的物理访问。

联想还在联想系统更新驱动器映射实用程序中发布了缓冲区溢出修补程序。跟踪为CVE-2018-9063，该漏洞可能导致未定义的行为，如任意代码，该公司执行笔记。

由SaifAllah benMassaoud发现并以中等严重等级评估，攻击者可以利用漏洞进入非常大的用户ID或密码来溢出程序的缓冲区。攻击者可能会使用MapDrv的特权执行代码。

Lenovo System Update 5.07.0072或更高版本解决了此漏洞，建议用户更新应用程序以保护其安全。要确定当前安装的Lenovo System Update版本，用户应启动该应用程序，单击右上角的绿色问号，然后选择“关于”。

联想系统更新在执行时会自动检查较新的版本，用户应该简单地启动应用程序并在系统提示时接受更新。通过从Lenovo 网站下载最新的应用程序版本，手动更新也是可能的。