レノボ セキュリティ アドバイザリ: LEN-154748

潜在的影響: 不適切な認証、特権昇格

重要度: 中

影響範囲: Lenovo限定

CVE ID: CVE-2024-45101, CVE-2024-45102, CVE-2024-45103, CVE-2024-45104

概要:

Lenovo XClarity Administrator (LCXA) の内部調査により、以下の脆弱性が確認されました。

CVE-2024-45101- シングルサインオン(SSO)が有効な場合に、攻撃者が有効な認証済みLXCAユーザーに特別に細工されたURLをクリックさせると、ユーザーのXCCセッションを傍受できる権限昇格の脆弱性が確認されました。

CVE-2024-45102- LXCAをXCCインスタンスのシングルサインオン (SSO) プロバイダーとして使用する場合に、有効な認証済みLXCAユーザーが接続されたXCCインスタンスの権限を昇格できる可能性がある、権限昇格の脆弱性が発見されました。

CVE-2024-45103- 十分な権限を持たない有効な認証済みLXCAユーザーが、LXCA WebインタフェースからLXCA管理対象デバイスの管理を解除できる場合があります。

CVE-2024-45104- 十分な権限を持たない有効な認証済みLXCAユーザーが、特別に細工されたWeb API呼び出しを介して、デバイス識別子を使用してLXCA管理対象デバイスを変更できる可能性があります。

お客様による対策:

LXCAへのアクセスを、信頼できるユーザーに制限します。

LXCAをバージョン4.1以降に更新します。

影響を受ける製品(日本未発売製品を含む):

以下の製品に指定されたバージョンをダウンロードするには、以下の手順に従ってください。

製品ページの「ドライバーとソフトウェア」を開きます:

• Lenovo 製品 (ワールドワイド、中国を除く): https://support.lenovo.com/
• Lenovo 製品 (中国のみ): https://newsupport.lenovo.com.cn/
• IBMブランド System x レガシー製品: https://www.ibm.com/support/fixcentral/

1. 製品名、またはマシンタイプからお使いの製品を検索します。
2. 左のメニューから「ドライバーとソフトウェア」をクリックします。
3. 「ドライバーの手動更新」をクリックして、コンポーネント別に表示します。
4. 影響を受ける製品一覧の修正バージョンとサポートサイトの最新バージョンを比較します。

Lenovo では、上記の手動の手順の代わりに、更新を管理するツールを提供しています。詳細は以下を参照してください。

PC 製品/ソフトウェア: https://support.lenovo.com/jp/ja/solutions/ht504759

サーバー/Enterprise ソフトウェア: https://support.lenovo.com/jp/ja/solutions/lnvo-lxcaupd および https://datacentersupport.lenovo.com/jp/ja/documents/lnvo-center

以下のリンクから対象製品をご覧いただけます。

LXCA

編集履歴:

セキュリティアドバイザリの一覧は、 こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。

影響を受ける製品:

LXCA

※日本未発売製品を含む