SMTP通知におけるシェルインジェクション

脆弱性の開示

この脆弱性開示の目的は、外部の研究者によって報告されたSupermicro製品に影響を与える可能性のある脆弱性について通知することです。

謝辞

Supermicroは、ドイツの研究者がH12SSL-NTマザーボードにおける潜在的な脆弱性を発見したことに対し、その功績を認め、感謝の意を表します。

調査結果

一部のSupermicro製ボードにおける脆弱性は、SMTP通知設定に影響を与える可能性があります。この脆弱性により、認証されていない悪意のあるアクターが、アラート設定の件名などのユーザー入力を制御することが可能になり、任意のコード実行につながる可能性があります。

CVE：

35861
深刻度：高

影響を受ける製品

特定のX12、X13、H12、H13マザーボードにおけるSupermicro BMC。

ソリューション

影響を受けるすべてのSupermicroマザーボードSKUは、この潜在的な脆弱性を軽減するためにBMCアップデートが必要となります。
この潜在的な脆弱性を軽減するために、更新されたBMCファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。

ラックマウントサーバー

1Uデュアルプロセッサ

2Uデュアルプロセッサ

シングルプロセッサー

マルチプロセッサ

製品ファミリー

GPUサーバー

8U/10U GPUライン

4U/5U GPUライン

2U GPUライン

1U GPUライン

ツインサーバー

フレックスツイン

ビッグツイン

グランドツイン

ツインプロ

ファットツイン

ブレードサーバー

SuperBlade®

マイクロブレード

マイクロクラウド

ストレージサーバー

すべてのストレージシステム

オールフラッシュNVMe

トップローディング・ストレージ

JBOF

ペタスケール・グレイス・ストレージ

企業向けに最適化されたストレージ

JBODストレージ・エンクロージャ

マザーボード

サーバーボード

ワークステーション・ボード

組み込み / IoTボード

デスクトップ/ゲーミングボード

マザーボードマトリックス

グローバルSKU

筐体

1Uシャーシ

2Uシャーシ

3Uシャーシ

4U / タワーシャーシ

ミッド/ミニタワー

組み込み / IoTシャーシ

可動ラック / ドライブキット

JBODストレージ・エンクロージャ

グローバルSKU

スーパーラック

データセンター・ソリューション・エンジニアリング（DCSE）

ラック統合サービス

アクセサリー

ケーブル・マトリックス

ライザーカードマトリックス

ストレージAOCマトリックス

電源マトリックス

ヒートシンクマトリックス

システムファンマトリックス

可動ラック / ドライブキット

フロントシャーシベゼル

ストレージ、I/O、セキュリティ

エッジAIとIoTシステム

コンパクトエッジシステム

コンパクトエッジサーバー

ラックマウント型エッジサーバー

組み込みコンポーネント

組み込みマザーボード

組み込みシャーシ

スイッチ

アダプター

SuperWorkstations

液冷AI開発プラットフォーム

シングルプロセッサー

デュアルプロセッサー

Supero™ ゲーミングソリューション

AIインフラ

データセンタービルディングブロックソリューション®（DCBBS）

AIファクトリー

エッジAI

AIストレージ

NVIDIAソリューション

AMD ソリューション