IBM戴爾等伺服器管理系統存重大漏洞 戴爾不回應

　　據v3.co.uk網站7月24日報道，此前有安全研究員發現IBM、戴爾等品牌部分産品存在漏洞，該漏洞理論上可能會被駭客利用以獲取對受害用戶設備系統的控制許可權。IBM已經針對該漏洞發佈了相關補丁，但是目前戴爾仍然拒絕公開承認其多款産品存在該漏洞。

　　資料圖

　　KVM交換機通過直接連接鍵盤、視頻和滑鼠端口，使得用戶能夠遠端管理設備，如伺服器和路由器。5月，獨立安全研究員Alegandro Alvarez Bravo首次在IBM的KVM交換機中發現漏洞。隨後，Alvarez Bravo在Full Disclosure 論壇上發帖稱，儘管該漏洞最初是在IBM的系統中發現的，但是它也多見於包括戴爾在內的其他幾家公司的産品中。

　　Bravo稱，IBM的1754 GCM系列産品在單個設備中提供基於IP的KVM和串列控制臺管理技術。該系列産品v1.20.0.22575和之前的版本都存在該漏洞。不過該漏洞也存在於戴爾和其他廠商的KVM交換機中。該漏洞可能允許通過身份驗證的遠端入侵者在GCM系列産品的KVM交換機上遠端執行代碼。

　　IBM在7月14日發佈了該漏洞的補丁程式。Alvarez Bravo告訴記者，儘管他在兩個月前就與戴爾方面聯繫，告知其客戶所面臨的危險，但至今尚未得到戴爾方面的回復。

　　Alvarez Bravo稱，“兩個月前我就通過戴爾的安全網站告知他們此事，但是他們沒有作出任何回應，也沒有表明他們已經獲悉此事。不巧的是，我沒有那些受影響的KVM交換機的列表名單。我只知道他們有著經過更名的相同的固件。而這些固件的原生産商是美國艾默生電氣公司旗下的Avocent，Avocent 是全球主要的KVM交換和連接解決方案的供應商。”

　　一位來自卡巴斯基實驗室(Kaspersky Labs)的研究人員也遇到了類似問題，他表示同樣曾就此事聯繫戴爾公司。不過截至筆者發稿前，戴爾公司依然未予置評。

　　戴爾和IBM僅是最近幾週內被發現産品存在漏洞的許多公司中的兩家。美國思科系統公司也被迫在週五推出了適用於多種版本小型辦公路由器的安全升級補丁，來保護用戶免受駭客攻擊。(實習編譯：胡丹 審稿：陳薇)