SMTP通知におけるシェルインジェクション

脆弱性の開示

本脆弱性開示の目的は、外部の研究者から報告された、Supermicro を及ぼす可能性のある脆弱性についてお知らせすることです。

謝辞

Supermicro 、H12SSL-NTマザーボードにおける潜在的な脆弱性を発見したドイツの研究者の功績に感謝Supermicro 。

調査結果

supermicro 存在する脆弱性は、SMTP通知の設定に影響を与える可能性があります。この脆弱性により、認証されていない悪意のある攻撃者が、アラート設定の件名などのユーザー入力を制御できるようになり、その結果、コードが任意に実行される恐れがあります。

CVE：

CVE-2023-35861
深刻度：高

影響を受ける製品

X12、X13、H12、H13 Supermicro 。

ソリューション

この潜在的な脆弱性を軽減するためには、影響を受けるSupermicro 、BMCのアップデートが必要となります。
この潜在的な脆弱性を軽減するため、BMCファームウェアの更新版が作成されました。Supermicro 現在、影響を受ける製品のテストおよび検証Supermicro 。解決策については、リリースノートをご確認ください。

AIインフラ

Data Center Building Block Solutions® (DCBBS)

AI ファクトリー

エッジAI

AIストレージ

業界別AIソリューション

NVIDIAソリューション

AMD ソリューション

Intel ソリューション

ラックマウントサーバー

プロセッサー

2Uデュアルプロセッサ

シングルプロセッサー

マルチプロセッサ

製品ファミリー

GPUサーバー

8U/10U GPUライン

4U/5U GPUライン

2U GPUライン

1U GPUライン

Twin サーバー

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

FatTwin®

Blade

SuperBlade®

MicroBlade®

MicroCloud

ストレージサーバー

すべてのストレージシステム

オールフラッシュ NVMe

トップローディング・ストレージ

JBOF

ペタスケールGrace

企業向けに最適化されたストレージ

JBODストレージ・エンクロージャ

マザーボード

サーバーボード

ワークステーション・ボード

組み込み / IoTボード

デスクトップ/ゲーミングボード

マザーボードマトリックス

グローバルSKU

筐体

1Uシャーシ

2Uシャーシ

3Uシャーシ

4U / タワーシャーシ

ミッド/ミニタワー

組み込み / IoTシャーシ

可動ラック / ドライブキット

JBODストレージ・エンクロージャ

グローバルSKU

スーパーラック

ラック統合サービス

アクセサリー

ケーブル・マトリックス

ライザーカードマトリックス

ストレージAOCマトリックス

電源マトリックス

ヒートシンクマトリックス

システムファンマトリックス

可動ラック / ドライブキット

フロントシャーシベゼル

ストレージ、I/O、セキュリティ

エッジAI IoTシステム

コンパクトエッジシステム

コンパクトエッジサーバー

ラックマウント型エッジサーバー

組み込みコンポーネント

組み込みマザーボード

組み込みシャーシ

スイッチ

アダプター

SuperWorkstations

液冷AI開発プラットフォーム

シングルプロセッサー

デュアルプロセッサー

クラウド仮想化

クラウドプロバイダー（CSP）

IoT エッジソリューション