Lenovo corrige deux vulnérabilités importantes permettant l'exécution de code dans ses produits

Lenovo a publié des correctifs pour deux vulnérabilités dans ses produits dont l'exploitation permet l'exécution de code.

La première vulnérabilité, CVE-2017-3775, permettrait à un attaquant l'exploitant d’exécuter du code sans être authentifié au démarrage du serveur. La vulnérabilité affecte certaines version du BIOS/UEFI des produits System x de telle sorte que lorsque le mode de démarrage sécurisé Secure Boot est activé, ce dernier n'authentifie pas correctement le code avant le démarrage. L’exploitation de la vulnérabilité nécessite un accès physique au système.

La deuxième faille, CVE-2018-9063, est un débordement de tampon dans le service Lenovo System Update Drive Mapping Utility. La vulnérabilité est présente dans l'exécutable C:\Program Files\Lenovo\System Update\mapdrv.exe et permet à un attaquant de déclencher un débordement de tampon via les champs User ID et Password. Le code arbitraire s’exécute avec les droits du service MapDrv.

Informations
+

Impact

  • Exécution de code non-authentifié

Criticité

  • CVSS v3 : En cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • CVE-2017-3775 : Flex System x240 M5, x280 X6, x480 X6, x880, séries x3xxx, et appareils NeXtScale nx360 M5.

  • CVE-2018-9063 : Lenovo System Update versions antérieures à 5.07.0072

CVE

  • CVE-2017-3775
  • CVE-2018-9063


Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par Lenovo corrigeant la vulnérabilité.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement