Offenlegung von Schwachstellen:
Der Zweck dieser Veröffentlichung ist es, die potenziellen Schwachstellen, die Supermicro betreffen und von einem externen Forscher gemeldet wurden, zu kommunizieren.
Danksagung:
Supermicro möchte die Arbeit eines Forschers aus China, Eason und vul_pwner, für die Entdeckung potenzieller Schwachstellen in der Supermicro BIOS-Firmware würdigen.
Feststellungen:
Supermicro ist sich der folgenden potenziellen Sicherheitslücken in der BIOS-Firmware bewusst. Unsachgemäße Eingabevalidierung im Supermicro kann beliebiges Schreiben in den Speicher ermöglichen, was möglicherweise ausgenutzt werden kann.
CVEs und betroffene Produkte:
| CVE-ID | CVSS-Score | Art der Schwachstelle | Betroffene Motherboards | BIOS-Version mit Korrektur |
|---|---|---|---|---|
| CVE-2024-36433 | Hoch (7,5) | Beliebiges Schreiben in den Speicher |
| v 4.4 |
| CVE-2024-36434 | Hoch (7,5) | SMM-Aufruf |
| v 4.4 |
| CVE-2024-36432 | Hoch (7,5) | Beliebiges Schreiben in den Speicher |
| v 4.4 |
Milderung:
Supermicro hat einen Fix entwickelt, um diese potenziellen Schwachstellen zu entschärfen. Betroffene Motherboards werden derzeit validiert. Bitte prüfen Sie die Versionshinweise auf eine Lösung.
Ausbeutung und öffentliche Bekanntmachung:
Supermicro hat keine Kenntnis von öffentlichen Ankündigungen oder böswilliger Nutzung der in diesem Hinweis beschriebenen Schwachstellen.