脆弱性開示:
この開示の目的は、以下に影響を与える可能性のある脆弱性を伝えることです。 Supermicro 外部の研究者によって報告された製品。
了承:
Supermicro NVIDIA Offensive Security Research TeamのAlexander Tereshkin氏が、潜在的な脆弱性を発見した功績を称えたいと思います。 Supermicro BMC IPMIファームウェア。
まとめ:
一部のセキュリティ問題が発見されましたSupermicro マザーボード。この問題は、BMCのWebサーバーコンポーネントに影響します。
| CVE ID | 重大度 | 説明 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 致命的 | この潜在的な脆弱性はSupermicro BMCは、ファームウェアの「GetValue」関数におけるバッファオーバーフローが原因で発生する可能性があり、これは入力値のチェック不足によって生じます。 認証されていないユーザーは、特別に細工されたデータを投稿することができます。インタフェースこれはスタックバッファオーバーフローを引き起こし、BMC上で任意のリモートコード実行につながる可能性があります。 |
対象製品:
Supermicro 選択したBMCファームウェアX11 、 X12 、 H12 、B12、 X13 、 H13 、およびB13マザーボード(およびCMM6モジュール)。
修復:
影響を受けたすべての人Supermicro これらの潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにBMCのアップデートが必要になります。
これらの潜在的な脆弱性を軽減するために、BMCファームウェアのアップデート版が作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。
攻撃対象領域を縮小するための当面の対策として、 BMC構成ベストプラクティスガイドに従ってセッションタイムアウトを設定することをお勧めします。
搾取および公的な告知:
Supermicro これらの脆弱性が実際に悪用された事例は確認されていません。