来源:[db:来源] 时间:2023-01-24 08:31:51
原标题:历经Nortel与IBM联想移除一个藏匿13年之久的网路交换器后门
Lenovo
联想(Lenovo)于上周更新了含有后门的交换器韧体—Enterprise Networking Operating System(ENOS),该韧体被应用在Lenovo Flex System Fabric、RackSwitch及BladeCenter等型号的网路交换器,将允许第三方绕过验证机制,取得管理权限,而且是在2004年就存在的,于ENOS转手两次,经历了13年之后才被联想工程师发现。
此一编号为CVE-2017-3765的安全漏洞是个「验证旁路」(Authentication Bypass)漏洞。根据联想的说明,ENOS最初是由Nortel旗下的刀锋伺服器交换器事业部(Blade Server Switch Business Unit,BSSBU)所开发,在2004年时,BSSBU因应OEM客户的请求,特意将该后门嵌入韧体中。
接着BSSBU在2006年脱离Nortel,独立成为BLADE Network Technologies(BNT),IBM于2010年买下了BNT,联想在2014年自IBM手上买下BNT资产,几经转手,都没有人发现或修复ENOS的后门。
而联想则是因最近收购了其他业者,并针对所有产品的韧体展开内部稽核,才发现这个已存在13年的安全漏洞。联想表示,该公司无法接受绕过验证机制的作法,同时它也不符合联想产品的安全政策,因此已自ENOS原始码中移除了此一机制,同时更新相关产品的韧体。
受到波及的网路交换器型号涵盖了仍旧採用IBM品牌的IBM Flex System、IBM Flex System Fabric、IBM BladeCenter、IBM RackSwitch,以及採用联想品牌的Lenovo Flex System、Lenovo Flex System Fabric与Lenovo Rack Switch等。
相关推荐
猜你喜欢
