当前位置: 首页 > 要闻 > 列表

历经Nortel与IBM联想移除一个藏匿13年之久的网路交换器后门-天天报道

来源:互联网    时间:2023-02-02 05:16:54


(资料图片)

图片来源:

Lenovo

联想(Lenovo)于上周更新了含有后门的交换器韧体—Enterprise Networking Operating System(ENOS),该韧体被应用在Lenovo Flex System Fabric、RackSwitch及BladeCenter等型号的网路交换器,将允许第三方绕过验证机制,取得管理权限,而且是在2004年就存在的,于ENOS转手两次,经历了13年之后才被联想工程师发现。

此一编号为CVE-2017-3765的安全漏洞是个「验证旁路」(Authentication Bypass)漏洞。根据联想的说明,ENOS最初是由Nortel旗下的刀锋伺服器交换器事业部(Blade Server Switch Business Unit,BSSBU)所开发,在2004年时,BSSBU因应OEM客户的请求,特意将该后门嵌入韧体中。

接着BSSBU在2006年脱离Nortel,独立成为BLADE Network Technologies(BNT),IBM于2010年买下了BNT,联想在2014年自IBM手上买下BNT资产,几经转手,都没有人发现或修复ENOS的后门。

而联想则是因最近收购了其他业者,并针对所有产品的韧体展开内部稽核,才发现这个已存在13年的安全漏洞。联想表示,该公司无法接受绕过验证机制的作法,同时它也不符合联想产品的安全政策,因此已自ENOS原始码中移除了此一机制,同时更新相关产品的韧体。

受到波及的网路交换器型号涵盖了仍旧採用IBM品牌的IBM Flex System、IBM Flex System Fabric、IBM BladeCenter、IBM RackSwitch,以及採用联想品牌的Lenovo Flex System、Lenovo Flex System Fabric与Lenovo Rack Switch等。

X 关闭

Copyright ? 2015-2023 版权所有  备案号:琼ICP备2022009675号-37

邮箱 : 435 227 67@qq.com