Supermicro ist sich der kürzlich (09. Dezember 2021) bekannt gewordenen Sicherheitslücke im Zusammenhang mit der Open-Source-Apache-Java-Protokollierungsbibliothek "Log4j 2", auch bekannt als "Log4Shell"(CVE-2021-44228), bewusst und schließt sich den Bemühungen der Industrie an, die Schwachstelle mit hoher Priorität zu beseitigen. Neben dem CVE-2021-44228-Problem behebt Supermicro auch die Sicherheitslücken CVE-2021-45046 und CVE-2021-45105.
Die meisten Supermicro sind von diesen drei Sicherheitslücken nicht betroffen. Die einzige betroffene Anwendung ist Supermicro Power Manager (SPM). Um die Probleme CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 zu beheben, wird empfohlen, Log4j 2 im betroffenen Produkt (SPM) auf Version 2.17.0 zu aktualisieren.
Log4j 2.17.0 entfernt die Unterstützung für Message Lookup Patterns und deaktiviert die JNDI-Funktionalität standardmäßig. Log4j 2.17.0 behebt außerdem einen Stapelüberlauf bei Context Lookups in den Layout-Patterns der Konfigurationsdatei und verhindert so Denial-of-Service-Angriffe.
Supermicro wird auch ein Update auf SPM Version 1.11.1 veröffentlichen. Für SPM (Remote Management Software) wird derzeit ein Validierungstest mit hoher Priorität durchgeführt, um das Update so schnell wie möglich zu veröffentlichen. Die derzeitige Abhilfe besteht darin, dass der IT-Administrator ein IP-Whitelisting durchführt, um den Zugriff auf SPM zu kontrollieren und zu beschränken.
Zwei weitere CVEs CVE-2021-4104 und CVE-2019-17571, die eine Schwachstelle in Log4j 1.2 beschreiben, betreffen keines der Supermicro . Insbesondere sind Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool und vCenter Plug-in, die Log4j 1.2 verwenden, nicht betroffen.
Das Sicherheitsteam von Supermicro hat Supermicro Firmware- und Software-Produkte analysiert, um herauszufinden, ob einige von ihnen von den Apache Log4j 1.2 und Apache "Log4j 2" Sicherheitslücken betroffen sind. Die nachfolgende Tabelle fasst die Ergebnisse zusammen.
Supermicro wird die Situation weiter beobachten. Sollten weitere Produkte betroffen sein, wird dieses Bulletin aktualisiert. Wenn Sie weitere Details oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support Supermicro .
| Produkt | Betroffen von Apache "Log4j 1.2" | Betroffen von Apache "Log4j 2" | Zu treffende Abhilfemaßnahmen |
|---|---|---|---|
| BIOS | Nein | Nein | |
| BMC (alle Firmware-Zweige) | Nein | Nein | |
| Chassis-Management-Modul (CMM) | Nein | Nein | |
| SuperCloud Composer (SCC) | Nein | Nein | |
| Supermicro Server Manager (SSM) | Nein | Nein | |
| Supermicro SuperDoctor (SD5) | Nein | Nein | |
| Supermicro Power Manager (SPM) | Nein | Ja | Aktualisieren Sie auf Log4j 2.17.0. SPM-Freigabe anstehend ASAP |
| SMCIPMITool | Nein | Nein | |
| IPMICFG | Nein | Nein | |
| IPMIView | Nein | Nein | |
| SCC-Analytik | Nein | Nein | |
| SCC Pod Manager (PodM) | Nein | Nein | |
| vCenter-Plug-in | Nein | Nein | |
| SCOM-Plugin | Nein | Nein | |
| Nagios-Plugin | Nein | Nein | |
| Super Diagnostik Offline | Nein | NO | |
| Supermicro Update Manager (SUM) | Nein | Nein | |
| SUM-Dienst (SUM_SERVER) | Nein | Nein | |
| Supermicro Thin-Agent-Dienst (TAS) | Nein | Nein |