Lenovo XClarity Administrator (LXCA) の脆弱性
Lenovo XClarity Administrator (LXCA) の脆弱性
Lenovo XClarity Administrator (LXCA) の脆弱性
レノボ セキュリティ アドバイザリ: LEN-154748
潜在的影響: 不適切な認証、特権昇格
重要度: 中
影響範囲: Lenovo限定
CVE ID: CVE-2024-45101, CVE-2024-45102, CVE-2024-45103, CVE-2024-45104
概要:
Lenovo XClarity Administrator (LCXA) の内部調査により、以下の脆弱性が確認されました。
CVE-2024-45101- シングルサインオン(SSO)が有効な場合に、攻撃者が有効な認証済みLXCAユーザーに特別に細工されたURLをクリックさせると、ユーザーのXCCセッションを傍受できる権限昇格の脆弱性が確認されました。
CVE-2024-45102- LXCAをXCCインスタンスのシングルサインオン (SSO) プロバイダーとして使用する場合に、有効な認証済みLXCAユーザーが接続されたXCCインスタンスの権限を昇格できる可能性がある、権限昇格の脆弱性が発見されました。
CVE-2024-45103- 十分な権限を持たない有効な認証済みLXCAユーザーが、LXCA WebインタフェースからLXCA管理対象デバイスの管理を解除できる場合があります。
CVE-2024-45104- 十分な権限を持たない有効な認証済みLXCAユーザーが、特別に細工されたWeb API呼び出しを介して、デバイス識別子を使用してLXCA管理対象デバイスを変更できる可能性があります。
お客様による対策:
LXCAへのアクセスを、信頼できるユーザーに制限します。
LXCAをバージョン4.1以降に更新します。
以下の製品に指定されたバージョンをダウンロードするには、以下の手順に従ってください。
製品ページの「ドライバーとソフトウェア」を開きます:
- Lenovo 製品 (ワールドワイド、中国を除く): https://support.lenovo.com/
- Lenovo 製品 (中国のみ): https://newsupport.lenovo.com.cn/
- IBMブランド System x レガシー製品: https://www.ibm.com/support/fixcentral/
- 製品名、またはマシンタイプからお使いの製品を検索します。
- 左のメニューから「ドライバーとソフトウェア」をクリックします。
- 「ドライバーの手動更新」をクリックして、コンポーネント別に表示します。
- 影響を受ける製品一覧の修正バージョンとサポートサイトの最新バージョンを比較します。
Lenovo では、上記の手動の手順の代わりに、更新を管理するツールを提供しています。詳細は以下を参照してください。
PC 製品/ソフトウェア: https://support.lenovo.com/jp/ja/solutions/ht504759
サーバー/Enterprise ソフトウェア: https://support.lenovo.com/jp/ja/solutions/lnvo-lxcaupd および https://datacentersupport.lenovo.com/jp/ja/documents/lnvo-center
以下のリンクから対象製品をご覧いただけます。
編集履歴:
リビジョン | 日付 | 説明 |
---|---|---|
1 | 2024年9月10日 | 新規作成 |
セキュリティアドバイザリの一覧は、 こちらをクリックしてください。
最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。
影響を受ける製品:
※日本未発売製品を含む
製品 | コンポーネント | 修正バージョン |
Lenovo XClarity Administrator | Lenovo XClarity Administrator (LXCA) | LXCA 4.1 |
Lenovo XClarity Administrator | Lenovo XClarity Administrator Virtual Appliance Full Image (For KVM) | LXCA 4.1 |
Lenovo XClarity Administrator | Lenovo XClarity Administrator Virtual Appliance Full Image (For VMWare) | LXCA 4.1 |
Lenovo XClarity Administrator | Lenovo XClarity Administrator Virtual Appliance Full Image (For Windows) | LXCA 4.1 |
ご意見はサイトの改善に活用いたします。