发布日期：2012-12-12
更新日期：2012-12-13

受影响系统：

IBM Power 5

描述：

---

BUGTRAQ  ID: 56910
CVE(CAN) ID: CVE-2012-4856

IBM Server Firmware Power 5是IBM开发的支持SMT和on-die内存控制器的微型处理器。

IBM Server Firmware Power 5具有几个空密码和硬编码密码的默认账户，在某些环境下，固件代码无法执行，导致权限提升。此问题仅存在于IBM Server Firmware Power 5上的Service Processor中。

<*来源：Brian Smith
  
  链接：https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_vulnerability_in_select_ibm_power_5_systems_service_processor_cve_2012_48565?lang=en_ca
        http://xforce.iss.net/xforce/xfdb/79736
        http://aix.software.ibm.com/aix/efixes/security/squadrons_advisory.asc
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 至少在IBM Service Processor一个接口上配置静态IP地址。

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://aix.software.ibm.com/aix/efixes/security/squadrons_advisory.asc

浏览次数：3917
严重程度：0（网友投票）