Offenlegung der Sicherheitslücke:
Zweck dieser Offenlegung ist es, auf die potenziellen Schwachstellen hinzuweisen, die Folgendes betreffen: Supermicro Produkte, über die ein externer Forscher berichtete.
Anerkennung:
Supermicro möchte die Arbeit des Forschers der JAMK University of Applied Sciences, Finnland, für die Entdeckung potenzieller Schwachstellen anerkennen. Supermicro BMC IPMI-Firmware.
Zusammenfassung:
In ausgewählten Systemen wurden mehrere Sicherheitslücken entdeckt. Supermicro Diese Probleme können die Webserver-Komponente von BMC IPMI beeinträchtigen.
| CVE-Nummer | Beschreibung | Schwere |
|---|---|---|
| IPMI BMC SSDP/UPnP Webserver-Verzeichnisdurchlauf und iKVM-Zugriff ermöglichen den Neustart des Hosts | Hoch | |
| IPMI BMC administrative Webschnittstelle virtuelle Disketten-/USB-Fernbefehlsausführung | Hoch | |
| IPMI-BMC-Geräte verwenden fest codierte Verschlüsselungsschlüssel für Konfigurationsdateien, wodurch Angreifer bösartige Konfigurationsdateipakete erstellen und hochladen können, um die Ausführung von Befehlen aus der Ferne zu erlangen. | Hoch |
Betroffene Produkte:
Supermicro BMC in ausgewählten X11 , M11, X12 , H12 , B12, X13 , H13 , B13 und C9X299 Motherboards.
Abhilfe:
Betroffen Supermicro Für die Behebung dieser potenziellen Sicherheitslücken ist ein BMC-Update erforderlich.
Um diese potenziellen Sicherheitslücken zu beheben, wurde die BMC-Firmware aktualisiert. Informationen zur Lösung finden Sie im BMC-Firmware-Update und den zugehörigen Versionshinweisen. Für weitere Details wenden Sie sich bitte an den technischen Support.
Als Sofortmaßnahme zur Verringerung der Angriffsfläche wird empfohlen, den BMC Configuration Best Practices Guide zu befolgen und ein Session-Timeout zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro Es sind keine öffentlichen Bekanntmachungen oder missbräuchliche Nutzungen dieser in dieser Empfehlung beschriebenen Sicherheitslücken bekannt.