Supermicro BMC IPMI 固件漏洞,“Terrapin”,2024 年 10 月
漏洞披露:
本披露旨在通报外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
摘要
在部分Supermicro主板中发现了一个安全问题。
| CVE ID | 严重性 | 说明 |
|---|---|---|
| CVE-2023-48795 | 中等(5.9) | Terrapin攻击技术可能导致双方通过SSH使用安全性较低的算法进行通信,例如网站(https://terrapin-attack.com/)上提及的ChaCha20-Poly1305或CBC模式密码。 |
受影响的产品:
部分X11、X12、H12、M12、X13、H13和A3主板(以及CMM6模块)中的Supermicro BMC固件。
补救措施:
所有受影响的Supermicro主板SKU都将需要进行BMC更新,以缓解这些潜在漏洞。
已创建更新的BMC固件以缓解这些潜在漏洞。请查阅发布说明了解解决方案。
开发和公告:
Supermicro 尚未发现这些漏洞在实际环境中被恶意利用的案例。