Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.
Danksagung:
Supermicro would like to acknowledge the work done by the researcher from JAMK University of Applied Sciences, Finland for discovering potential vulnerabilities in Supermicro BMC IPMI Firmware.
Zusammenfassung:
Bei ausgewählten Supermicro wurden eine Reihe von Sicherheitsproblemen entdeckt. Diese Probleme können sich auf die Webserver-Komponente von BMC IPMI auswirken.
| CVE-Nummer | Beschreibung | Schweregrad |
|---|---|---|
| IPMI BMC SSDP/UPnP-Webserver-Verzeichnis-Traversal und iKVM-Zugang, der den Neustart des Hosts ermöglicht | Hoch | |
| IPMI BMC administrative Web-Schnittstelle virtuelle Floppy/USB Remote-Befehlsausführung | Hoch | |
| IPMI BMC-Geräte verwenden hartkodierte Verschlüsselungsschlüssel für Konfigurationsdateien, die es dem Angreifer ermöglichen, ein bösartiges Konfigurationsdateipaket zu erstellen und hochzuladen, um eine Remote-Befehlsausführung zu erlangen | Hoch |
Betroffene Produkte:
Supermicro BMC in select X11, M11, X12, H12, B12, X13, H13, B13 and C9X299 motherboards.
Abhilfe:
Betroffene Supermicro -SKUs erfordern ein BMC-Update, um diese potenziellen Sicherheitslücken zu schließen.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Bitte prüfen Sie das BMC-Firmware-Update und die Versionshinweise auf die Lösung und wenden Sie sich für weitere Einzelheiten an den technischen Support.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro keine öffentlichen Bekanntmachungen oder böswilligen Verwendungen dieser in dieser Sicherheitsempfehlung beschriebenen Schwachstellen bekannt.