Supermicro ist sich des kürzlich (09. Dezember 2021) offengelegten Sicherheitsproblems im Zusammenhang mit der Open-Source-Apache-Java-Logging-Bibliothek „Log4j 2“, auch bekannt als „Log4Shell“ (CVE-2021-44228), bewusst und schließt sich der Branche an, um die Exposition mit hoher Priorität zu mindern. Zusätzlich zum Problem CVE-2021-44228 behebt Supermicro auch die Sicherheitslücken CVE-2021-45046 und CVE-2021-45105.
Die meisten Supermicro-Anwendungen sind von diesen drei Schwachstellen nicht betroffen. Die einzige betroffene Anwendung ist der Supermicro Power Manager (SPM). Zur Behebung der Probleme CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 wird empfohlen, Log4j 2 im betroffenen Produkt (SPM) auf Version 2.17.0 zu aktualisieren.
Log4j 2.17.0 entfernt die Unterstützung für Message Lookup Patterns und deaktiviert die JNDI-Funktionalität standardmäßig. Log4j 2.17.0 behebt außerdem einen Stapelüberlauf bei Context Lookups in den Layout-Patterns der Konfigurationsdatei und verhindert so Denial-of-Service-Angriffe.
Supermicro wird auch ein Update für SPM Version 1.11.1 veröffentlichen. Für SPM (Remote-Management-Software) wird derzeit mit hoher Priorität ein Validierungstest durchgeführt, um das Update so schnell wie möglich freizugeben. Der aktuelle Workaround besteht darin, dass IT-Administratoren ein IP-Whitelisting durchführen, um den Zugriff auf SPM zu steuern und zu begrenzen.
Zwei weitere CVEs CVE-2021-4104 und CVE-2019-17571, die eine Schwachstelle in Log4j 1.2 beschreiben, betreffen keines der Supermicro Produkte. Insbesondere sind Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool und das vCenter Plug-in, die Log4j 1.2 verwenden, nicht betroffen.
Das Supermicro Sicherheitsteam hat Supermicro Firmware- und Softwareprodukte analysiert, um festzustellen, ob diese von den Apache Log4j 1.2 und Apache „Log4j 2“ Sicherheitslücken betroffen sind. Unten finden Sie die Tabelle, die die Ergebnisse zusammenfasst.
Supermicro wird die Situation weiterhin beobachten. Sollten weitere Produkte betroffen sein, wird dieses Bulletin aktualisiert. Wenn Sie weitere Details oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support von Supermicro.
| Produkt | Betroffen von Apache "Log4j 1.2" | Betroffen von Apache "Log4j 2" | Zu treffende Abhilfemaßnahmen |
|---|---|---|---|
| BIOS | Nein | Nein | |
| BMC (alle Firmware-Zweige) | Nein | Nein | |
| Chassis-Management-Modul (CMM) | Nein | Nein | |
| SuperCloud Composer SCC) | Nein | Nein | |
| Supermicro Server Manager (SSM) | Nein | Nein | |
| Supermicro SuperDoctor (SD5) | Nein | Nein | |
| Supermicro Power Manager (SPM) | Nein | Ja | Aktualisieren Sie auf Log4j 2.17.0. SPM-Freigabe anstehend ASAP |
| SMCIPMITool | Nein | Nein | |
| IPMICFG | Nein | Nein | |
| IPMIView | Nein | Nein | |
| SCC | Nein | Nein | |
| SCC Manager (PodM) | Nein | Nein | |
| vCenter-Plug-in | Nein | Nein | |
| SCOM-Plugin | Nein | Nein | |
| Nagios-Plugin | Nein | Nein | |
| Super Diagnostik Offline | Nein | NO | |
| Supermicro Update Manager (SUM) | Nein | Nein | |
| SUM (SUM) | Nein | Nein | |
| Supermicro Thin-Agent-Dienst (TAS) | Nein | Nein |