故障现象:
Lenovo 安全公告:LEN-2014-007 潜在影响:未经授权的访问;中间人(MitM)攻击 重要性:中 摘要: Lenovo 公开宣布,一个名为 POODLE 的安全漏洞仅会对少量的连网设备带来影响。但是,该漏洞非常严重,攻击者可能会利用此漏洞读取加密信息,甚至是在通过 SSL 连接进行传输时也不例外。Lenovo 为您列出了相关步骤,可帮助您进行自我保护。
解决方案:
应采取哪些措施进行自我保护: 将浏览器升级到您的 IT 组织支持的最新版本。如果正在使用 Internet Explorer 6,请改用更先进且版本受支持的浏览器。 禁用浏览器内的 SSLv3 支持。可转至此处,查找 SSLv3“Yes”,从而查看浏览器是否容易遭受攻击。要禁用 SSLv3 支持,请进行以下更改并重新启动浏览器: Mozilla Firefox 打开 about:config,找到 security.tls.version.min 并将值设置为 1。 Google Chrome 较新的 Chrome 版本支持 TLS_FALLBACK_SCSV,从而能够缓解这一问题。 可通过发出命令行命令 ssl-version-min=tls1 来显式禁用 SSLv3 支持。可在此处找到关于使用命令行标记的进一步说明。 Internet Explorer 转至“Internet 选项”下的“高级”选项卡,然后取消选中 SSLv3。 使用可用工具,对您的基础结构进行扫描,以查找是否存在此漏洞。Tinfoil Security 和 SSL Labs 提供了两种可用工具。 对通过发送电子邮件向您的设备安装补丁的投机钓鱼者提高警惕。请勿点击看似可疑的链接。 一般来讲,减少恶意攻击者可利用的表面积不失为一种好的做法,因此在可能的情况下,请禁用 Web 服务器等不必要的服务。 如果您无法禁用使用 SSLv3 的 Web 服务器,请应用网络分段和适当的访问控制列表来限制远程访问,从而最大程度降低影响。 请查看下方的“产品影响”列表,并更新适用的固件。 - ThinkPad、ThinkCentre 和 ThinkStation 产品应更新 Intel Management Engine(ME)固件
- ThinkServer 产品应更新底板管理控制器(BMC)固件
- LenovoEMC 应更新 Lifeline 软件
- 软件应用程序应更新到建议版本
产品影响: ThinkPad ThinkCentre: ThinkStation: ThinkServer & Storage: LenovoEMC: 软件:
备注:
致谢: 无 其他信息和参考资料: CVE ID:CVE-2014-3566、CVE-2014-8730
修订历史: 版本 | 日期 | 描述 | 1.5 | 2015-09-28 | 更新的 ThinkServer 修复版本,可补充之前不完整的修复程序 | 1.4 | 2015-06-29 | 发布其他修复程序 | 1.3 | 2015-05-17 | 发布其他修复程序 | 1.2 | 2015-04-16 | 发布其他修复程序 | 1.1 | 2015-03-03 | 发布其他修复程序 | 1.0 | 2014-12-24 | 初始版本
|
| 
发表于 2016-3-3 15:08
|