Lenovo System Update frissítés

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Minden ThinkPad
Minden ThinkCentre
Minden ThinkStation
Lenovo V/B/K/E sorozat

Összefoglaló

Több sérülékenységet azonosítottak a Lenovo System Update-ben, melyek magasabb szintű jogosultság szerzésre adnak lehetőséget a támadóknak. 

Leírás

A Lenovo System Update (korábbi nevén ThinkVantage System Update) feladata pont a biztonsági problémák megelőzése lenne. Azonban az általa használt SUService.exe szolgáltatásban sérülékenységet fedeztek fel. Ez a szolgáltatás  biztonsági tokenek felhasználásával végzi a hitelesitési és érvényesítési folyamatokat. A sérülékenységet a biztonsági tokenek generálásában fedezték fel, ez pedig lehetőséget biztosít a támadóknak, hogy saját parancsaikat érvényesítsék.

Megoldás

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: support.lenovo.com
CVE-2015-2219 - NVD CVE-2015-2219
CVE-2015-2233 - NVD CVE-2015-2233
CVE-2015-2234 - NVD CVE-2015-2234
CVE-2015-6971 - NVD CVE-2015-6971
CVE-2015-7333 - NVD CVE-2015-7333
CVE-2015-7334 - NVD CVE-2015-7334
CVE-2015-7335 - NVD CVE-2015-7335
CVE-2015-7336 - NVD CVE-2015-7336
CVE-2015-8109 - NVD CVE-2015-8109
CVE-2015-8110 - NVD CVE-2015-8110