Supermicro es consciente del problema de seguridad recientemente revelado (09 de diciembre de 2021) relacionado con la biblioteca de registro Java Apache de código abierto "Log4j 2" también acuñada como "Log4Shell"(CVE-2021-44228) y se une a la industria para mitigar la exposición con alta prioridad. Además del problema CVE-2021-44228, Supermicro también está abordando las vulnerabilidades de seguridad CVE-2021-45046 y CVE-2021-45105.
La mayoría de las aplicaciones de Supermicro no se ven impactadas por estas tres vulnerabilidades. La única aplicación impactada es Supermicro Power Manager (SPM). Para remediar los problemas CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105, la acción recomendada es actualizar Log4j 2 en el producto afectado (SPM) a la versión 2.17.0.
Log4j 2.17.0 elimina el soporte para patrones de búsqueda de mensajes y desactiva la funcionalidad JNDI por defecto. Log4j 2.17.0 también corrige el desbordamiento de pila en Context Lookups en los patrones de diseño del archivo de configuración y evita así un ataque de denegación de servicio.
Supermicro también lanzará una actualización de la versión 1.11.1 de SPM. Para SPM (software de gestión remota), se está realizando una prueba de validación con alta prioridad para liberar la actualización lo antes posible. La solución actual es que el administrador de TI realice listas blancas de IP para controlar y limitar el acceso a SPM.
Dos CVE adicionales CVE-2021-4104 y CVE-2019-17571 que describen una vulnerabilidad en Log4j 1.2 no afectan a ninguno de los productos Supermicro . En concreto, Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool y vCenter Plug-in que utilizan Log4j 1.2 no están afectados.
El equipo de seguridad de Supermicro ha analizado los productos de firmware y software Supermicro para saber si alguno de ellos está afectado por las vulnerabilidades de seguridad Apache Log4j 1.2 y Apache "Log4j 2". A continuación se muestra la tabla que resume los resultados.
Supermicro continuará supervisando la situación. En caso de que se encuentre algún otro producto afectado, se actualizará este boletín. Si necesita detalles adicionales o asistencia, póngase en contacto con el soporte técnico de Supermicro .
| Cantidad de productos. | Afectado por Apache "Log4j 1.2" | Afectado por Apache "Log4j 2" | Medidas paliativas que deben adoptarse |
|---|---|---|---|
| BIOS | No | No | |
| BMC (todas las ramas de firmware) | No | No | |
| Módulo de gestión del chasis (CMM) | No | No | |
| SuperCloud Composer (SCC) | No | No | |
| Supermicro Server Manager (SSM) | No | No | |
| Supermicro SuperDoctor (SD5) | No | No | |
| Gestor de alimentación Supermicro (SPM) | No | Sí | Actualice a Log4j 2.17.0. SPM Liberación pendiente ASAP |
| SMCIPMITool | No | No | |
| IPMICFG | No | No | |
| IPMIView | No | No | |
| Análisis de SCC | No | No | |
| Gestor de Pods SCC (PodM) | No | No | |
| Complemento de vCenter | No | No | |
| Plug-in SCOM | No | No | |
| Complemento Nagios | No | No | |
| Super Diagnóstico Offline | No | NO | |
| Gestor de actualizaciones de Supermicro (SUM) | No | No | |
| Servicio SUM (SUM_SERVER) | No | No | |
| Servicio Thin-Agent (TAS) de Supermicro | No | No |