Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung ist es, die potenziellen Schwachstellen, die Supermicro-Produkte betreffen und von einem externen Forscher gemeldet wurden, mitzuteilen.
Danksagung:
Supermicro möchte die Arbeit anerkennen, die von Forschern aus China, Eason und vul_pwner, geleistet wurde, indem sie potenzielle Schwachstellen in der Supermicro BIOS-Firmware entdeckten.
Feststellungen:
Supermicro ist sich der folgenden potenziellen Schwachstellen in der BIOS-Firmware bewusst. Eine fehlerhafte Eingabevalidierung im Supermicro BIOS kann eine beliebige Speicherbeschreibung ermöglichen, die potenziell ausgenutzt werden kann.
CVEs und betroffene Produkte:
| CVE-ID | CVSS-Score | Art der Schwachstelle | Betroffene Motherboards | BIOS-Version mit Korrektur |
|---|---|---|---|---|
| 36433 | Hoch (7,5) | Beliebiges Schreiben in den Speicher |
| v 4.4 |
| 36434 | Hoch (7,5) | SMM-Aufruf |
| v 4.4 |
| 36432 | Hoch (7,5) | Beliebiges Schreiben in den Speicher |
| v 4.4 |
Milderung:
Supermicro hat eine Korrektur zur Behebung dieser potenziellen Schwachstellen entwickelt. Betroffene Motherboards werden validiert. Bitte beachten Sie die Release Notes für die Lösung.
Ausbeutung und öffentliche Bekanntmachung:
Supermicro sind keine öffentlichen Ankündigungen oder bösartige Nutzungen der in diesem Advisory beschriebenen Schwachstellen bekannt.