注意:このウェブサイトにはアクセシビリティシステムが含まれています。 Control-F11を押して、スクリーンリーダーを使用している視覚障害者に合わせてWebサイトを調整します。 Control-F10を押して、ユーザー補助メニューを開きます。

Lenovo XClarity Administrator (LXCA) の脆弱性

Lenovo XClarity Administrator (LXCA) の脆弱性

Lenovo XClarity Administrator (LXCA) の脆弱性

レノボ セキュリティ アドバイザリ: LEN-154748

潜在的影響: 不適切な認証、特権昇格

重要度:

影響範囲: Lenovo限定

CVE ID: CVE-2024-45101, CVE-2024-45102, CVE-2024-45103, CVE-2024-45104

 

概要:

Lenovo XClarity Administrator (LCXA) の内部調査により、以下の脆弱性が確認されました。

CVE-2024-45101- シングルサインオン(SSO)が有効な場合に、攻撃者が有効な認証済みLXCAユーザーに特別に細工されたURLをクリックさせると、ユーザーのXCCセッションを傍受できる権限昇格の脆弱性が確認されました。

CVE-2024-45102- LXCAをXCCインスタンスのシングルサインオン (SSO) プロバイダーとして使用する場合に、有効な認証済みLXCAユーザーが接続されたXCCインスタンスの権限を昇格できる可能性がある、権限昇格の脆弱性が発見されました。

CVE-2024-45103- 十分な権限を持たない有効な認証済みLXCAユーザーが、LXCA WebインタフェースからLXCA管理対象デバイスの管理を解除できる場合があります。

CVE-2024-45104- 十分な権限を持たない有効な認証済みLXCAユーザーが、特別に細工されたWeb API呼び出しを介して、デバイス識別子を使用してLXCA管理対象デバイスを変更できる可能性があります。

 

お客様による対策:

LXCAへのアクセスを、信頼できるユーザーに制限します。

LXCAをバージョン4.1以降に更新します。

 

影響を受ける製品(日本未発売製品を含む):

以下の製品に指定されたバージョンをダウンロードするには、以下の手順に従ってください。

製品ページの「ドライバーとソフトウェア」を開きます:

  1. 製品名、またはマシンタイプからお使いの製品を検索します。
  2. 左のメニューから「ドライバーとソフトウェア」をクリックします。
  3. 「ドライバーの手動更新」をクリックして、コンポーネント別に表示します。
  4. 影響を受ける製品一覧の修正バージョンとサポートサイトの最新バージョンを比較します。

Lenovo では、上記の手動の手順の代わりに、更新を管理するツールを提供しています。詳細は以下を参照してください。

PC 製品/ソフトウェア: https://support.lenovo.com/jp/ja/solutions/ht504759

サーバー/Enterprise ソフトウェア: https://support.lenovo.com/jp/ja/solutions/lnvo-lxcaupd および https://datacentersupport.lenovo.com/jp/ja/documents/lnvo-center

 

以下のリンクから対象製品をご覧いただけます。

LXCA

 

編集履歴:

リビジョン 日付 説明
1 2024年9月10日 新規作成

セキュリティアドバイザリの一覧は、 こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。

 

影響を受ける製品:

LXCA

※日本未発売製品を含む

製品 コンポーネント 修正バージョン
Lenovo XClarity Administrator Lenovo XClarity Administrator (LXCA) LXCA 4.1
Lenovo XClarity Administrator Lenovo XClarity Administrator Virtual Appliance Full Image (For KVM) LXCA 4.1
Lenovo XClarity Administrator Lenovo XClarity Administrator Virtual Appliance Full Image (For VMWare) LXCA 4.1
Lenovo XClarity Administrator Lenovo XClarity Administrator Virtual Appliance Full Image (For Windows) LXCA 4.1

エイリアス番号:LEN-154748
ドキュメント ID:PS500656
リリース日:2024年09月16日
最終更新日:2024年09月16日