Lenovo 安全公告：LEN-7805

潜在影响：具有物理访问权限的攻击者可能可以加载未签名的固件

严重性：中

影响范围：Lenovo

摘要描述：

内部测试期间，Lenovo 在某些 Lenovo RackSwitch 以太网交换机中发现了一个漏洞，该漏洞表现为，对 USB 接口具有物理访问权限的攻击者可能可以在交换机在特定固件级别运行时绕过内部检查并上传未签名的固件。除特别制作的固件映像外，攻击者还需要有效的管理帐户来登录交换机，或者需要通过将交换机关机再开机使其离线，才能成功利用这一漏洞。

应采取哪些措施进行自我保护：

Lenovo 建议客户下载以下链接中提供的软件，将交换机固件更新到最新版本。无法安装补丁的用户应限制交换机的物理访问权限并监控和调查交换机的意外重新启动。

产品影响：

修订历史：