脆弱性Supermicro BMC IPMIファームウェア、2023年12月
脆弱性開示:
この開示の目的は、以下に影響を与える可能性のある脆弱性を伝えることです。 Supermicro 外部の研究者によって報告された製品。
了承:
Supermicro フィンランドのJAMK応用科学大学の研究者による、潜在的な脆弱性の発見に関する研究に感謝いたします。 Supermicro BMC IPMIファームウェア。
まとめ:
一部のセキュリティ問題が発見されましたSupermicro ボード。これらの問題は、BMC IPMI の Web サーバー コンポーネントに影響を与える可能性があります。
| CVE番号 | 説明 | 重大度 |
|---|---|---|
| IPMI BMC SSDP/UPnPウェブサーバーのディレクトリトラバーサルとiKVMアクセスによりホストの再起動が可能になる | 高い | |
| IPMI BMC管理Webインタフェース 仮想フロッピーディスク/USBリモートコマンド実行 | 高い | |
| IPMI BMCデバイスはハードコードされた設定ファイル暗号化キーを使用しているため、攻撃者は悪意のある設定ファイルパッケージを作成してアップロードすることで、リモートコマンド実行権を取得できる。 | 高い |
対象製品:
Supermicro BMC X11 M11、 X12 、 H12 、B12、 X13 、 H13 B13およびC9X299マザーボード。
修復:
影響を受けるSupermicro これらの潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにBMCのアップデートが必要になります。
これらの潜在的な脆弱性を軽減するために、BMCファームウェアのアップデート版が作成されました。解決策については、BMCファームウェアのアップデート情報とリリースノートをご確認ください。詳細については、テクニカルサポートにお問い合わせください。
攻撃対象領域を縮小するための当面の対策として、 BMC構成ベストプラクティスガイドに従ってセッションタイムアウトを設定することをお勧めします。
搾取および公的な告知:
Supermicro 本勧告に記載されている脆弱性に関する公表情報や悪用事例は確認されていません。