Supermicro consciente del problema de seguridad recientemente revelado (9 de diciembre de 2021) relacionado con la biblioteca de registro de código abierto Apache Java «Log4j 2», también conocida como «Log4Shell» (CVE-2021-44228), y se une al sector para mitigar la exposición con alta prioridad. Además del problema CVE-2021-44228, Supermicro también Supermicro abordando las vulnerabilidades de seguridad CVE-2021-45046 y CVE-2021-45105.
La mayoría de Supermicro no se ven afectadas por estas tres vulnerabilidades. La única aplicación afectada es Supermicro Manager (SPM). Para solucionar los problemas CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105, la acción recomendada es actualizar Log4j 2 en el producto afectado (SPM) a la versión 2.17.0.
Log4j 2.17.0 elimina el soporte para patrones de búsqueda de mensajes y desactiva la funcionalidad JNDI por defecto. Log4j 2.17.0 también corrige el desbordamiento de pila en Context Lookups en los patrones de diseño del archivo de configuración y evita así un ataque de denegación de servicio.
Supermicro también Supermicro una actualización de la versión 1.11.1 de SPM. En el caso del SPM (software de gestión remota), se está realizando una prueba de validación con alta prioridad para lanzar la actualización lo antes posible. La solución provisional actual consiste en que el administrador de TI realice una lista blanca de direcciones IP para controlar y limitar el acceso al SPM.
Dos CVE adicionales, CVE-2021-4104 y CVE-2019-17571, que describen vulnerabilidades en Log4j 1.2, no afectan a ninguno de los Supermicro . En concreto, Supermicro Manager (SSM), Supermicro (SD5), SMCIPMITool y vCenter Plug-in, que utilizan Log4j 1.2, no se ven afectados.
El equipo Supermicro ha analizado los productos Supermicro y software Supermicro para determinar si alguno de ellos se ve afectado por las vulnerabilidades de seguridad de Apache Log4j 1.2 y Apache «Log4j 2». A continuación se muestra una tabla que resume los resultados.
Supermicro supervisando la situación. En caso de que se detecte que otros productos se ven afectados, se actualizará este boletín. Si necesita más detalles o asistencia, póngase en contacto con el servicio Supermicro .
| Cantidad de productos. | Afectado por Apache "Log4j 1.2" | Afectado por Apache "Log4j 2" | Medidas paliativas que deben adoptarse |
|---|---|---|---|
| BIOS | No | No | |
| BMC (todas las ramas de firmware) | No | No | |
| Módulo de gestión del chasis (CMM) | No | No | |
| SuperCloud Composer (SCC) | No | No | |
| Supermicro Server Manager (SSM) | No | No | |
| Supermicro (SD5) | No | No | |
| Gestor de alimentación Supermicro (SPM) | No | Sí | Actualice a Log4j 2.17.0. SPM Liberación pendiente ASAP |
| SMCIPMITool | No | No | |
| IPMICFG | No | No | |
| IPMIView | No | No | |
| Análisis de SCC | No | No | |
| Gestor de Pods SCC (PodM) | No | No | |
| Complemento de vCenter | No | No | |
| Plug-in SCOM | No | No | |
| Complemento Nagios | No | No | |
| Super Diagnóstico Offline | No | NO | |
| Supermicro Manager (SUM) | No | No | |
| Servicio SUM (SUM_SERVER) | No | No | |
| Servicio Thin-Agent (TAS) de Supermicro | No | No |