脆弱性の開示
この開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性についてお伝えすることです。
謝辞
Supermicro 、Supermicro BMC IPMIファームウェアの潜在的な脆弱性を発見したNVIDIA Offensive Security Research TeamのAlexander Tereshkin氏の功績を称えたいと思います。
概要
一部のSupermicro マザーボードにセキュリティ上の問題が発見されました。この問題は、BMC のウェブサーバーコンポーネントに影響します。
| CVE ID | 重大性 | 説明 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | クリティカル | Supermicro BMC のこの潜在的な脆弱性は、ファームウェアの "GetValue" 関数のバッファオーバーフローに起因する可能性があります。 認証されていないユーザーが特別に細工したデータをインターフェイスに投稿することで、スタックバッファオーバーフローが発生し、BMC上で任意のリモートコードが実行される可能性があります。 |
影響を受ける製品
一部の X11、X12、H12、B12、X13、H13、B13 マザーボード (および CMM6 モジュール) のSupermicro BMC ファームウェア。
修復:
影響を受けるすべてのSupermicro マザーボード SKU では、これらの潜在的な脆弱性を軽減するために BMC の更新が必要になります。
これらの潜在的な脆弱性を軽減するために、更新された BMC ファームウェアが作成されています。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法については、リリースノートをご確認ください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicro 、これらの脆弱性が悪意を持って使用されていることを認識していません。