脆弱性の開示
本開示の目的は、外部の研究者から報告された、Supermicro を及ぼす可能性のある脆弱性についてお知らせすることです。
概要
Supermicro 、セキュリティ上の脆弱性が発見されました。このセキュリティ問題は「RegreSSHion」として知られており、OpenSSHの重要なシグナルハンドラのレースコンディションに影響を及ぼします。この脆弱性により、root権限での認証不要なリモートコード実行(RCE)が発生する可能性があります。
CVE:
- CVE-2024-6387
- 深刻度:高
影響を受ける製品
H13、X13、H12、M12、およびX12 Supermicro ファームウェア。
修復:
影響を受けるSupermicro SKUについては、これらの潜在的な脆弱性を軽減するために、BMCファームウェアの更新が必要となります。
これらの潜在的な脆弱性を軽減するため、BMCファームウェアの更新版が作成されました。Supermicro 現在、影響を受ける製品のテストおよび検証Supermicro 。解決策については、リリースノートをご確認ください。
OpenSSH の回答(リリースノート)によると、この脆弱性は制御された実験環境でテストに成功し たものの、この脆弱性を悪用するためには、サーバーの最大スループットで連続的に攻撃を試み、 約 6~8 時間を要したとのことです。特に、一般的な BMC ファームウェアの場合、このような攻撃方法は、接続異常を引き起こし、最終的に 攻撃の失敗につながります。
Supermicro 、一般的なセキュリティ対策として、デバイスへのネットワークアクセスを保護するための適切な措置を講じることをSupermicro 推奨いたします。Supermicro 、デバイスを保護されたIT環境で運用できるよう、Supermicro 運用ガイドラインに従って環境を設定することをSupermicro 。詳細については、製品のセキュリティに関するウェブページをご参照いただくとともに、製品マニュアルに記載されている推奨事項に従ってください。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例については把握Supermicro 。