សង្ខេបព័ត៌មាន៖ គេឃើញភាពងាយរងគ្រោះសរុបចំនួន ៩នៅលើម៉ាស៊ីនមេរបស់ក្រុមហ៊ុន ។ ក្នុងចំណោមពួកគេមានមេរោគចំនួនពីរចាត់ថ្នាក់ជាគុណវិបត្តិមានហានិភ័យខ្ពស់។ ភាពងាយរងគ្រោះមានទាំង use-after-free issues, command injection flaw, improper authentication, និងកំហុសផ្សេងទៀត។ ម៉ាស៊ីនបម្រើ(Server) ប្រើហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុន Lenovo មានភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព ដែលអាចមានប្រព័ន្ធសម្របសម្រួលក្នុងទ្រង់ទ្រាយធំ។
ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខមកពី Swascan រកឃើញកំហុសចំនួន ៩ដែលក្នុងនោះកំហុសចំនួនពីរត្រូវគេចាត់ថ្នាក់ថា មានជាហានិភ័យខ្ពស់។ នៅសល់កំហុសចំនួន ៧ត្រូវគេចាត់ទុកថា បង្កការខូចខាតមធ្យម។ ក្រុមហ៊ុន Lenovo ជួសជុលភាពងាយរងគ្រោះមួយចំនួនបន្ទាប់ពីក្រុមអ្នកស្រាវជ្រាវ Swascan ជូនដំណឹងដល់ពួកគេ។
គន្លឹះសំខាន់ៗ
- ភាពងាយរងគ្រោះមានទាំង use-after-free issues, command injection flaw, improper authentication, និងកំហុសផ្សេងទៀត។
- ក្រុមអ្នកស្រាវជ្រាវ Swascan បានលើកឡើងថា ការកេងប្រវ័ញ្ច័ទៅលើកំហុសទាំងនេះអាចបង្កផលប៉ះពាល់ដល់ប្រព័ន្ធ Lenovo ។
- ភាពងាយរងគ្រោះមួយចំនួនត្រូវបានដោះស្រាយគឺ CWE-476 (Null Pointer dereferencing) CWE-119 (កំហុសអង្គចងចាំ), CWE-416 (ការប្រើដោយឥតគិតថ្លៃ), CWE-78 (ការបញ្ចូលពាក្យបញ្ជា OS), CWE-20 (បញ្ចូលមិនត្រឹមត្រូវ សុពលភាព) និង CWE-287 (ការផ្ទៀងផ្ទាត់មិនត្រឹមត្រូវ) ។
- កំហុសទាំងនេះអាចអនុញ្ញាតិឱ្យមានការប្រតិបត្តិកូដដោយខុសច្បាប់ ផ្លាស់ប្តូដំណើរការអានព័ត៌មាន បណ្តាលឱ្យប្រព័ន្ធគាំង។
តើអ្វីទៅជាការឆ្លើយតប?
Swascan ដែលសហការជាមួយ Lenovo ដើម្បីដោះស្រាយបញ្ហាក្នុងម៉ាស៊ីន។ ក្រុមហ៊ុនផលិតកុំព្យូទ័រចិនចូលរួមក្នុងការរកដំណោះស្រាយ។ ភាពទន់ខ្សោយទាំងនេះប្រសិនបើត្រូវបានគេធ្វើអាជីវកម្មអាចបង្កផលប៉ះពាល់ដល់សុចរិតភាព និងការសម្ងាត់របស់ប្រព័ន្ធ។ លោក Swascan និយាយនៅក្នុងបណ្តាញប្លុកមួយថា “នេះជាហេតុផលដែល Swaskan ទាក់ទងភ្លាមៗជាមួយនាយកដ្ឋានសន្តិសុខរបស់ក្រុមហ៊ុន Lenovo ដែលនាំឱ្យមានការសហការប្រកបដោយប្រសិទ្ធភាព និងមានដំណោះស្រាយលើភាពងាយរងគ្រោះ ” ។
ប្រភពព័ត៌មាន៖
https://cyware.com/news/lenovo-servers-contained-major-security-vulnerabilities-d1746888