Supermicro 、オープンソースのApache Javaロギングライブラリ「Log4j 2」(「Log4Shell」とも呼ばれる)(CVE-2021-44228)に関連する、最近(2021年12月9日)公表されたセキュリティ問題をSupermicro 、業界と連携して、この脆弱性の影響を軽減するために最優先でSupermicro 。CVE-2021-44228の問題に加え、Supermicro CVE-2021-45046およびCVE-2021-45105のセキュリティ脆弱性に対処Supermicro 。
Supermicro ほとんどは、これら3つの脆弱性の影響を受けません。 影響を受けるアプリケーションは、Supermicro Manager(SPM)のみです。CVE-2021-44228、CVE-2021-45046、およびCVE-2021-45105の問題を修正するには、影響を受ける製品(SPM)のLog4j 2をバージョン2.17.0に更新することを推奨します。
Log4j 2.17.0は、メッセージ・ルックアップ・パターンのサポートを削除し、デフォルトでJNDI機能を無効にします。Log4j 2.17.0はまた、構成ファイルのレイアウトパターンのContext Lookupsのスタックオーバーフローを修正し、したがって、サービス拒否攻撃を防ぎます。
また、Supermicro SPMバージョン1.11.1のアップデートもリリースSupermicro SPM(リモート管理ソフトウェア)については、アップデートをできるだけ早くリリースできるよう、現在優先的に検証テストを実施しています。現時点での回避策として、IT管理者はIPホワイトリストを設定し、SPMへのアクセスを制御・制限してください。
Log4j 1.2 の脆弱性を説明する追加の 2 つの CVE(CVE-2021-4104およびCVE-2019-17571)は、Supermicro 一切影響しません。特に、Log4j 1.2 を使用しているSupermicro Manager (SSM)、Supermicro (SD5)、SMCIPMITool、および vCenter Plug-in は影響を受けません。
Supermicro 、Supermicro 分析を行い、Apache Log4j 1.2およびApache「Log4j 2」のセキュリティ脆弱性の影響を受ける製品があるかどうかを調査しました。以下に、その結果をまとめた表を示します。
Supermicro 、引き続き状況を注視Supermicro 。他の製品にも影響が確認された場合は、本お知らせを更新いたします。詳細やサポートが必要な場合は、Supermicro お問い合わせください。
| 関連製品 | Apache "Log4j 1.2 "の影響を受けます。 | Apache "Log4j 2" の影響 | 取るべき緩和措置 |
|---|---|---|---|
| バイオス | いいえ | いいえ | |
| BMC(すべてのファームウェアブランチ) | いいえ | いいえ | |
| シャーシ管理モジュール(CMM) | いいえ | いいえ | |
| SuperCloud Composer (SCC) | いいえ | いいえ | |
| Supermicro Manager (SSM) | いいえ | いいえ | |
| Supermicro (SD5) | いいえ | いいえ | |
| Supermicro Manager (SPM) | いいえ | はい | Log4j 2.17.0にアップグレードしてください。 SPMリリースは大至急保留 |
| SMCIPMITool | いいえ | いいえ | |
| IPMICFG | いいえ | いいえ | |
| IPMIView | いいえ | いいえ | |
| SCC | いいえ | いいえ | |
| SCC マネージャー (PodM) | いいえ | いいえ | |
| vCenterプラグイン | いいえ | いいえ | |
| SCOMプラグイン | いいえ | いいえ | |
| Nagiosプラグイン | いいえ | いいえ | |
| スーパー診断オフライン | いいえ | ノー | |
| Supermicro Manager (SUM) | いいえ | いいえ | |
| SUM (SUM) | いいえ | いいえ | |
| Supermicro Service (TAS) | いいえ | いいえ |