脆弱性の開示
この開示の目的は、外部の研究者によって報告されたSupermicro製品に影響を与える可能性のある脆弱性について通知することです。
謝辞
Supermicroは、Supermicro BMC IPMIファームウェアにおける潜在的な脆弱性を発見した、NVIDIA Offensive Security Research TeamのAlexander Tereshkin氏の功績に感謝いたします。
概要
一部のSupermicroマザーボードにおいてセキュリティ上の問題が発見されました。この問題は、BMCのウェブサーバーコンポーネントに影響を与えます。
| CVE ID | 重大性 | 説明 |
|---|---|---|
| 36435 SMC-2023110008 | クリティカル | Supermicro BMCにおけるこの潜在的な脆弱性は、入力値のチェック不足によって引き起こされる、ファームウェアの「GetValue」関数におけるバッファオーバーフローに起因する可能性があります。 認証されていないユーザーが特別に細工したデータをインターフェイスに投稿することで、スタックバッファオーバーフローが発生し、BMC上で任意のリモートコードが実行される可能性があります。 |
影響を受ける製品
特定のX11、X12、H12、B12、X13、H13、B13マザーボード (およびCMM6モジュール) におけるSupermicro BMCファームウェア。
修復:
影響を受けるすべてのSupermicroマザーボードSKUは、これらの潜在的な脆弱性を軽減するためにBMCアップデートが必要となります。
これらの潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策についてはリリースノートをご確認ください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicroは、これらの脆弱性が実世界で悪意を持って使用された事例を認識していません。