Supermicroは、最近開示された(2021年12月9日)オープンソースのApache Javaロギングライブラリ「Log4j 2」(「Log4Shell」とも呼ばれる、CVE-2021-44228)に関連するセキュリティ問題を認識しており、高優先度でリスクを軽減するため業界と協力しています。CVE-2021-44228の問題に加え、SupermicroはCVE-2021-45046およびCVE-2021-45105のセキュリティ脆弱性にも対応しています。
ほとんどのSupermicroアプリケーションは、これら3つの脆弱性の影響を受けません。影響を受ける唯一のアプリケーションはSupermicro Power Manager (SPM) です。CVE-2021-44228、CVE-2021-45046、およびCVE-2021-45105の各問題に対処するためには、影響を受ける製品 (SPM) のLog4j 2をバージョン2.17.0に更新することが推奨されます。
Log4j 2.17.0は、メッセージ・ルックアップ・パターンのサポートを削除し、デフォルトでJNDI機能を無効にします。Log4j 2.17.0はまた、構成ファイルのレイアウトパターンのContext Lookupsのスタックオーバーフローを修正し、したがって、サービス拒否攻撃を防ぎます。
SupermicroはSPMバージョン1.11.1のアップデートもリリースする予定です。SPM(リモート管理ソフトウェア)については、できるだけ早くアップデートをリリースするため、検証テストが最優先で実施されています。現在の回避策は、IT管理者がIPホワイトリストを作成し、SPMへのアクセスを制御および制限することです。
Log4j 1.2の脆弱性を記述する追加の2つのCVE CVE-2021-4104 および CVE-2019-17571 は、Supermicro製品には影響しません。特に、Log4j 1.2を使用するSupermicro Server Manager (SSM)、Supermicro SuperDoctor (SD5)、SMCIPMITool、およびvCenter Plug-inは影響を受けません。
Supermicroセキュリティチームは、Supermicroのファームウェアおよびソフトウェア製品を分析し、それらのいずれかがApache Log4j 1.2およびApache「Log4j 2」のセキュリティ脆弱性の影響を受けるかどうかを理解しました。以下に、その結果をまとめた表を示します。
Supermicroは引き続き状況を監視します。他の製品に影響が見つかった場合、この速報は更新されます。追加の詳細やサポートが必要な場合は、Supermicroテクニカルサポートまでお問い合わせください。
| 製品 | Apache "Log4j 1.2 "の影響を受けます。 | Apache "Log4j 2" の影響 | 取るべき緩和措置 |
|---|---|---|---|
| バイオス | いいえ | いいえ | |
| BMC(すべてのファームウェアブランチ) | いいえ | いいえ | |
| シャーシ管理モジュール(CMM) | いいえ | いいえ | |
| SuperCloud Composer (SCC) | いいえ | いいえ | |
| Supermicro Server Manager (SSM) | いいえ | いいえ | |
| Supermicro SuperDoctor (SD5) | いいえ | いいえ | |
| Supermicro パワーマネージャー (SPM) | いいえ | はい | Log4j 2.17.0にアップグレードしてください。 SPMリリースは大至急保留 |
| SMCIPMITool | いいえ | いいえ | |
| IPMICFG | いいえ | いいえ | |
| IPMIView | いいえ | いいえ | |
| SCC | いいえ | いいえ | |
| SCC マネージャー (PodM) | いいえ | いいえ | |
| vCenterプラグイン | いいえ | いいえ | |
| SCOMプラグイン | いいえ | いいえ | |
| Nagiosプラグイン | いいえ | いいえ | |
| スーパー診断オフライン | いいえ | ノー | |
| Supermicro Update Manager (SUM) | いいえ | いいえ | |
| SUM (SUM) | いいえ | いいえ | |
| Supermicro Thin-Agent Service (TAS) | いいえ | いいえ |