Apache Log4jの脆弱性に対するSupermicro対応

Supermicro 、オープンソースのApache Javaロギングライブラリ「Log4j 2」(「Log4Shell」とも呼ばれる)に関連するセキュリティ問題(CVE-2021-44228)を最近(2021年12月09日)公表されたことを認識しており、業界と協力してこの問題を最優先で緩和します。CVE-2021-44228に加え、Supermicro CVE-2021-45046およびCVE-2021-45105のセキュリティ脆弱性にも対処しています。

ほとんどのSupermicro アプリケーションは、これら 3 つの脆弱性の影響を受けません。影響を受ける唯一のアプリケーションはSupermicro Power Manager (SPM) です。CVE-2021-44228CVE-2021-45046、およびCVE-2021-45105の問題を修正するには、影響を受ける製品 (SPM) の Log4j 2 をバージョン 2.17.0 に更新することを推奨します。

Log4j 2.17.0は、メッセージ・ルックアップ・パターンのサポートを削除し、デフォルトでJNDI機能を無効にします。Log4j 2.17.0はまた、構成ファイルのレイアウトパターンのContext Lookupsのスタックオーバーフローを修正し、したがって、サービス拒否攻撃を防ぎます。

また、Supermicro は SPM バージョン 1.11.1 へのアップデートをリリースする予定です。SPM (リモート管理ソフトウェア) については、早急にアップデートをリリースするため、検証テストを最優先で実施しています。現時点での回避策としては、IT管理者がSPMへのアクセスを制御および制限するためにIPホワイトリストを実行する必要があります。

Log4j 1.2の脆弱性を示す2つの追加CVECVE-2021-4104およびCVE-2019-17571は、Supermicro 製品には影響しません。特に、Log4j 1.2を使用するSupermicro Server Manager (SSM)、Supermicro SuperDoctor (SD5)、SMCIPMITool、vCenter Plug-inは影響を受けません。

Supermicro セキュリティチームは、Supermicro ファームウェアおよびソフトウェア製品を分析し、Apache Log4j 1.2およびApache "Log4j 2 "のセキュリティ脆弱性の影響を受けている製品があるかどうかを把握しました。以下は、その結果をまとめた表です。

Supermicro では引き続き状況を監視していきます。他の製品にも影響があることが判明した場合は、この情報を更新します。詳細またはサポートが必要な場合は、Supermicro テクニカルサポートまでお問い合わせください。

製品Apache "Log4j 1.2 "の影響を受けます。Apache "Log4j 2" の影響取るべき緩和措置
バイオスいいえいいえ 
BMC(すべてのファームウェアブランチ)いいえいいえ 
シャーシ管理モジュール(CMM)いいえいいえ 
SuperCloud Composer (SCC)いいえいいえ 
Supermicro Server Manager (SSM)いいえいいえ 
Supermicro SuperDoctor (SD5)いいえいいえ 
Supermicro Power Manager (SPM)いいえはい
Log4j 2.17.0にアップグレードしてください。
SPMリリースは大至急保留
SMCIPMIToolいいえいいえ 
IPMICFGいいえいいえ 
IPMIView(アイピーエムアイビューいいえいいえ 
SCCアナリティクスいいえいいえ 
SCCポッドマネージャ(PodM)いいえいいえ 
vCenterプラグインいいえいいえ 
SCOMプラグインいいえいいえ 
Nagiosプラグインいいえいいえ 
スーパー診断オフラインいいえノー 
Supermicro Update Manager (SUM)いいえいいえ 
SUMサービス(SUM_SERVER)いいえいいえ 
Supermicro Thin-Agent Service (TAS)いいえいいえ 

リソース

お問い合わせ / サービス

その他のリソース

製品マトリックス