Supermicro 已知悉近期披露的(2021 年 12 月 9 日)安全问题,该问题与开源 Apache Java 日志库“Log4j 2”有关,也被称为“Log4Shell” (CVE-2021-44228),并与业界一道,高度重视并积极缓解其影响。除了 CVE-2021-44228 问题外,Supermicro 还在处理 CVE-2021-45046 和 CVE-2021-45105 安全漏洞。
大多数 Supermicro 应用程序不受这三个漏洞的影响。唯一受影响的应用程序是 Supermicro Power Manager (SPM)。为修复 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 问题,建议的措施是将受影响产品 (SPM) 中的 Log4j 2 更新至 2.17.0 版本。
Log4j 2.17.0 移除了对消息查找模式的支持,并在默认情况下禁用了 JNDI 功能。Log4j 2.17.0 还修复了配置文件布局模式中上下文查找的堆栈溢出,从而防止了拒绝服务攻击。
Supermicro 还将发布 SPM 1.11.1 版本的更新。对于 SPM(远程管理软件),正在优先进行验证测试,以尽快发布更新。当前的临时解决方案是,IT 管理员执行 IP 白名单设置,以控制和限制对 SPM 的访问。
另外两个描述 Log4j 1.2 中漏洞的 CVE CVE-2021-4104 和 CVE-2019-17571 不影响任何 Supermicro 产品。特别是,使用 Log4j 1.2 的 Supermicro Server Manager (SSM)、Supermicro SuperDoctor (SD5)、SMCIPMITool 和 vCenter Plug-in 不受影响。
Supermicro 安全团队已分析 Supermicro 固件和软件产品,以了解其中是否有任何产品受到 Apache Log4j 1.2 和 Apache “Log4j 2” 安全漏洞的影响。下表总结了分析结果。
Supermicro 将继续监测情况。如果发现有其他产品受到影响,本公告将进行更新。如果您需要更多详细信息或帮助,请联系 Supermicro 技术支持。
| 产品 | 受 Apache "Log4j 1.2" 影响 | 受 Apache "Log4j 2" 影响 | 应采取的缓解行动 |
|---|---|---|---|
| BIOS | 没有 | 没有 | |
| BMC(所有固件分支) | 没有 | 没有 | |
| 机箱管理模块 (CMM) | 没有 | 没有 | |
| SuperCloud Composer (SCC) | 没有 | 没有 | |
| Supermicro Server Manager (SSM) | 没有 | 没有 | |
| Supermicro SuperDoctor (SD5) | 没有 | 没有 | |
| Supermicro Power Manager (SPM) | 没有 | 是 | 升级到 Log4j 2.17.0。 SPM 待尽快发布 |
| SMCIPMITool | 没有 | 没有 | |
| IPMICFG | 没有 | 没有 | |
| IPMIView | 没有 | 没有 | |
| SCC 分析 | 没有 | 没有 | |
| SCC Pod 管理器(PodM) | 没有 | 没有 | |
| vCenter 插件 | 没有 | 没有 | |
| SCOM 插件 | 没有 | 没有 | |
| Nagios 插件 | 没有 | 没有 | |
| 超级诊断脱机 | 没有 | 没有 | |
| Supermicro Update Manager (SUM) | 没有 | 没有 | |
| SUM 服务 (SUM_SERVER) | 没有 | 没有 | |
| Supermicro Thin-Agent Service (TAS) | 没有 | 没有 |