脆弱性の開示
本開示の目的は、外部の研究者から報告された、Supermicro を及ぼす可能性のある脆弱性についてお知らせすることです。
謝辞
Supermicro 、Supermicro IPMIファームウェアにおける潜在的な脆弱性を発見したBinarlyの研究者の方々の功績に感謝Supermicro 。
概要
Supermicro 、3つのセキュリティ上の問題が発見されました。これらの問題は、Supermicro (Web UI)のWebサーバーコンポーネントに影響を及ぼします。
| 課題ID | 重大性 | 問題の種類 | 説明 |
|---|---|---|---|
| 高い | コマンド・インジェクション攻撃 | BMC が SMTP 通知に使用するバックエンド コマンドは、BMC OS コマンドのインジェクションを可能にするサニタイズされていない認証情報を受け入れます。ログインするには、管理者権限を持つ BMC アカウントが必要です。 Supermicro スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) |
| 高い | XSS攻撃 | ポイズン化されたローカルストレージアイテムは、管理者権限でログインしたユーザーアカウントに代わって、ログインしたユーザーアカウントの不正な作成を許可するサニテーションなしで評価されます。 Supermicro スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
| 高い | コマンド・インジェクション攻撃 | Supermicro、SNMP設定ファイルをアップロードして適用することができます。この設定ファイルを利用することで、承認されていないダイナミックライブラリから追加のモジュールを読み込むことが可能です。この悪意のある設定は、BMCの再起動後も維持されます。これを行うには、管理者権限を持つBMCアカウントが必要です。 Supermicro スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
影響を受ける製品
X11、X12、X13、H11、H12、H13、M11、M12、B11、およびB12マザーボード(およびCMM)にSupermicro 。
修復:
影響を受けるSupermicro SKUについては、これらの潜在的な脆弱性を軽減するためにBMCの更新が必要となります。
これらの潜在的な脆弱性を軽減するため、BMCファームウェアの更新版が作成されました。Supermicro 現在、影響を受ける製品のテストおよび検証Supermicro 。解決策については、リリースノートをご確認ください。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例については把握Supermicro 。