スタックオーバーフローによる変数の変更
脆弱性の開示
本脆弱性情報開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性をお伝えすることです。
謝辞
Supermicro は、X12DPG-QR マザーボードに潜在的な脆弱性を発見した中国武漢大学の研究者の功績を称えたいと思います。
調査結果
BIOS ファームウェアにスタックオーバーフローが発生する可能性があり、攻撃者は変数を操作することでこの脆弱性を悪用し、制御フローを乗っ取る可能性があります。これにより、カーネルレベルの特権を持つ攻撃者に特権の昇格を許し、任意のコードを実行される可能性があります。
CVE:
- CVE-2023-34853
- 深刻度:高
影響を受ける製品
X11、X12、X13、およびH11、H12、H13マザーボードのSupermicro BIOS。
解決策
影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BIOS の更新が必要になります。
この潜在的な脆弱性を軽減するために、更新された BIOS ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法についてはリリースノートをご確認ください。