Supermicro tiene conocimiento del problema de seguridad recientemente divulgado (9 de diciembre de 2021) relacionado con la biblioteca de registro de Java de código abierto Apache “Log4j 2”, también conocida como “Log4Shell” (CVE-2021-44228), y se une a la industria para mitigar la exposición con alta prioridad. Además del problema CVE-2021-44228, Supermicro también está abordando las vulnerabilidades de seguridad CVE-2021-45046 y CVE-2021-45105.
La mayoría de las aplicaciones de Supermicro no se ven afectadas por estas tres vulnerabilidades. La única aplicación afectada es Supermicro Power Manager (SPM). Para remediar los problemas de CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105, la acción recomendada es actualizar Log4j 2 en el producto afectado (SPM) a la versión 2.17.0.
Log4j 2.17.0 elimina el soporte para patrones de búsqueda de mensajes y desactiva la funcionalidad JNDI por defecto. Log4j 2.17.0 también corrige el desbordamiento de pila en Context Lookups en los patrones de diseño del archivo de configuración y evita así un ataque de denegación de servicio.
Supermicro también lanzará una actualización para SPM versión 1.11.1. Para SPM (software de gestión remota), se está realizando una prueba de validación con alta prioridad para lanzar la actualización lo antes posible. La solución provisional actual es que el administrador de TI realice una lista blanca de IP para controlar y limitar el acceso a SPM.
Dos CVE adicionales, CVE-2021-4104 y CVE-2019-17571, que describen una vulnerabilidad en Log4j 1.2, no afectan a ninguno de los productos Supermicro. En particular, Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool y el complemento de vCenter que utilizan Log4j 1.2 no se ven afectados.
El equipo de seguridad de Supermicro ha analizado el firmware y los productos de software de Supermicro para determinar si alguno de ellos se ve afectado por las vulnerabilidades de seguridad de Apache Log4j 1.2 y Apache «Log4j 2». A continuación, se presenta la tabla que resume los resultados.
Supermicro seguirá monitorizando la situación. En caso de que se detecte que otros productos están afectados, este boletín se actualizará. Si necesita detalles adicionales o asistencia, póngase en contacto con el Soporte Técnico de Supermicro.
| Cantidad de productos. | Afectado por Apache "Log4j 1.2" | Afectado por Apache "Log4j 2" | Medidas paliativas que deben adoptarse |
|---|---|---|---|
| BIOS | No | No | |
| BMC (todas las ramas de firmware) | No | No | |
| Módulo de gestión del chasis (CMM) | No | No | |
| SuperCloud Composer SCC) | No | No | |
| Supermicro Server Manager (SSM) | No | No | |
| Supermicro SuperDoctor (SD5) | No | No | |
| Gestor de alimentación Supermicro (SPM) | No | Sí | Actualice a Log4j 2.17.0. SPM Liberación pendiente ASAP |
| SMCIPMITool | No | No | |
| IPMICFG | No | No | |
| IPMIView | No | No | |
| SCC | No | No | |
| SCC Manager (PodM) | No | No | |
| Complemento de vCenter | No | No | |
| Plug-in SCOM | No | No | |
| Complemento Nagios | No | No | |
| Super Diagnóstico Offline | No | NO | |
| Supermicro Gestor de Actualizaciones (SUM) | No | No | |
| SUM (SUM) | No | No | |
| Servicio Thin-Agent (TAS) de Supermicro | No | No |