脆弱性の開示

この開示は、Supermicro 製品の潜在的な脆弱性について、外部グループからSupermicro 問い合わせがあったことを伝えるものです。

謝辞

Supermicro 、Supermicro SuperDoctor5 (SD5) の潜在的な脆弱性を発見した、フランスに拠点を置く Synacktiv 社の研究者の功績を称えたいと思います。

調査結果

研究者は、Supermicro SuperDoctor5 (SD5) の脆弱性を特定しました。この脆弱性により、Web インターフェイス上で認証されたユーザーであれば誰でも、SuperDoctor5 (SD5) がインストールされたシステム上でリモートから任意のコマンドを実行できる可能性があります。

認証されたユーザは、ウェブ・アプリケーションのデバッグ・メニューを通して log4j.properties ファイルを編集することができます。このファイルの特定のパラメータを変更することで、リモートの攻撃者は、ルート・ユーザとして、基礎となるシステム上で任意のコードを実行することができます。

CVE：

• CVE: CVE-2023-26795
• 深刻度：高
• 発見外部

影響を受ける製品

Supermicro SuperDoctor5 (SD5) バージョン 5.13.0

解決策

Supermicro 、この脆弱性の修正を含むバージョン5.14.0をリリースしました。12-05-2022にリリースされた最新のバージョン5.16.0にも修正が含まれています。

リソース

最新版は以下からダウンロードできます：

• https://www.supermicro.com/en/support/resources/downloadcenter/smsdownload

CVE：

• CVE-2023-26795