Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.
Danksagung:
Supermicro Alexander Tereshkin vom NVIDIA Offensive Security Research Team für seine Arbeit zur Aufdeckung einer potenziellen Sicherheitslücke in der Supermicro IPMI-Firmware danken.
Zusammenfassung:
A security issue has been discovered in select Supermicro motherboards. This issue affects the web server component of their BMC.
| CVE-ID | Schweregrad | Beschreibung |
|---|---|---|
| 36435 SMC-2023110008 | Kritisch | This potential vulnerability in Supermicro BMC may come from a buffer overflow in the “GetValue” function of the firmware that is caused by a lack of checking the input value. Ein nicht authentifizierter Benutzer kann speziell gestaltete Daten an die Schnittstelle senden, was einen Stapelpufferüberlauf auslöst und zur Ausführung von beliebigem entfernten Code auf einem BMC führen kann. |
Betroffene Produkte:
Supermicro BMC firmware in select X11, X12, H12, B12, X13, H13, and B13 motherboards (and CMM6 modules).
Abhilfe:
Alle betroffenen Supermicro -SKUs erfordern ein BMC-Update, um diese potenziellen Sicherheitslücken zu schließen.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Sicherheitslücken zu beheben. Supermicro und validiert derzeit die betroffenen Produkte. Die Lösung finden Sie in den Versionshinweisen.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro keine Fälle bekannt, in denen diese Schwachstellen in der Praxis missbräuchlich genutzt wurden.