SMTP通知におけるシェルインジェクション

脆弱性の開示

本脆弱性情報開示の目的は、外部の研究者から報告されたSupermicro 製品に影響を及ぼす可能性のある脆弱性をお伝えすることです。

謝辞

Supermicro は、H12SSL-NT マザーボードに潜在的な脆弱性を発見したドイツの研究者の功績を称えたいと思います。

調査結果

選択されたsupermicro ボードにおける脆弱性は、SMTP 通知設定に影響する可能性があります。この脆弱性により、認証されていない悪意のある第三者が、アラート設定の件名などのユーザ入力を制御し、コードの任意の実行につながる可能性があります。

CVE：

CVE-2023-35861
深刻度：高

影響を受ける製品

一部のX12、X13、およびH12、H13マザーボードに搭載されているSupermicro BMC。

解決策

影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BMC の更新が必要になります。
この潜在的な脆弱性を軽減するために、更新された BMC ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法については、リリースノートをご確認ください。

リソース

CVE-2023-35861

ラックマウントサーバー

1Uデュアルプロセッサー

2Uデュアルプロセッサー

シングルプロセッサー

マルチプロセッサー

製品ファミリー

GPUサーバー

8U/10U GPUライン

4U/5U GPUライン

2U GPUライン

1U GPUライン

ツインサーバー

FlexTwin™

BigTwin®

GrandTwin®

TwinPro®

Twin

FatTwin®

ブレードサーバー

SuperBlade®

MicroBlade®

MicroCloud

ストレージサーバー

すべてのストレージシステム

オールフラッシュNVMe

トップローディング・ストレージ

JBOF

ペタスケール・グレイス・ストレージ

企業向けに最適化されたストレージ

JBODストレージ・エンクロージャ

マザーボード

サーバーボード

ワークステーション・ボード

組み込み / IoTボード

デスクトップ/ゲーミングボード

前の記事

マザーボードマトリックス

グローバルSKU

筐体

1Uシャーシ

2Uシャーシ

3Uシャーシ

4U / タワーシャーシ

ミッド/ミニタワー

組み込み / IoTシャーシ

可動ラック / ドライブキット

JBODストレージ・エンクロージャ

グローバルSKU

スーパーラック

データセンター・ソリューション・エンジニアリング（DCSE）

ラック統合サービス

アクセサリー

ケーブル・マトリックス

ライザーカードマトリックス

ストレージAOCマトリックス

電源マトリックス

ヒートシンクマトリックス

システムファンマトリックス

可動ラック / ドライブキット

フロントシャーシベゼル

ストレージ、I/O、セキュリティ

エッジ＆テレコム・サーバー

ファンレスエッジシステム

コンパクトエッジシステム

エッジGPUシステム

屋外エッジシステム

1Uエッジネットワークシステム

5G/テレコム・システム

組み込みコンポーネント

組み込みマザーボード

組み込みシャーシ

スイッチ

アダプター

SuperWorkstations

液冷AI開発プラットフォーム

シングルプロセッサー

デュアルプロセッサー

Supero™ ゲーミングソリューション

AIインフラ

データセンタービルディングブロックソリューション®（DCBBS）