יבמ פרסמה הודעה על פגיעות קריטית במוצר ServeRAID Manager שאינו נתמך כעת, שעלולה להוביל לביצוע קוד שרירותי.
האזהרה נושאת דירוג CVSS של 9.3 עבור CVE-2011-3556 ומכסה את ServeRAID Manager Java גרסה 1.4.2. הבעיה נעוצה בעובדה ש-ServeRAID Manager פועל עם הרשאות מערכת במערכות Microsoft Windows כך שתוקף לא מאומת עם גישה לרשת יכול לנצל את ממשק Java RMI הפגיע כדי להפעיל התקפת מטעין מחלקות מרוחק.
IBM הזהירה
אלה שעדיין מפעילים את ServeRAID Manager שמכיוון שהוא כבר לא נתמך על ידי
לחברה אין כוונה להוציא עדכון או תיקון כדי לתקן זאת
פגיעות. במקום זאת מוצע
שמשתמשים מגבילים את הגישה על ידי הגדרת ServeRAID Manager להאזנה
ממשקי רשת ספציפיים, כגון כמו localhost, או להשתמש במארח מבוסס
חומת אש להגבלת גישה לרשת.
יבמ ציינה
שהשם ServeRAID Manager משויך גם לחלק ממוצרי Lenovo,
אבל אלה אינם מושפעים מהפגיעות הזו.
