脆弱性開示:
この開示の目的は、以下に影響を与える可能性のある脆弱性を伝えることです。 Supermicro 外部の研究者によって報告された製品。
了承:
Supermicro Binarlyの研究者による潜在的な脆弱性の発見に関する取り組みに感謝いたします。 Supermicro BMC IPMIファームウェア。
まとめ:
厳選された製品で3つのセキュリティ上の問題が発見されましたSupermicro マザーボード。これらの問題は、Webサーバーコンポーネントに影響を与えます。 Supermicro BMC(Web UI)
| 問題ID | 重大度 | 問題の種類 | 説明 |
|---|---|---|---|
| 高い | コマンドインジェクション攻撃 | BMCがSMTP通知に使用するバックエンドコマンドは、サニタイズされていない認証情報を受け入れるため、BMC OSコマンドの挿入が可能になります。管理者権限を持つBMCアカウントでログインする必要があります。 Supermicro CVSSv3スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) |
| 高い | XSS攻撃 | 汚染されたlangローカルストレージアイテムは、管理者権限を持つログイン済みアカウントに代わって、ログイン済みユーザーアカウントの不正な作成を可能にするサニタイズなしで評価されます。 Supermicro CVSSv3スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
| 高い | コマンドインジェクション攻撃 | Supermicro BMCでは、SNMP設定ファイルをアップロードして適用することができます。この設定ファイルを使用すると、不正な動的ライブラリから追加のモジュールをロードすることが可能です。悪意のある設定は、BMCの再起動後も保持されます。管理者権限を持つBMCアカウントが必要です。 Supermicro CVSSv3スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
対象製品:
Supermicro BMC X11 、 X12 、 X13 、 H11 、 H12 、 H13 M11、M12、B11、B12マザーボード(およびCMM)。
修復:
影響を受けたすべての人Supermicro これらの潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにBMCのアップデートが必要になります。
これらの潜在的な脆弱性を軽減するために、BMCファームウェアのアップデート版が作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。
搾取および公的な告知:
Supermicro これらの脆弱性が実際に悪用された事例は確認されていません。