OpenSSH "regreSSHion" 漏洞,2024 年 7 月
漏洞披露:
本次披露的目的是为了说明可能影响系统的潜在漏洞Supermicro 由外部研究人员报告的产品。
摘要
在 Select 的 BMC 固件中发现了一个安全漏洞。 Supermicro 主板。此安全问题名为“RegreSSHion”,影响 OpenSSH 中的关键信号处理程序竞争条件。此漏洞可能导致未经身份验证的远程代码执行 (RCE),并授予 root 权限。
CVE:
- CVE-2024-6387
- 严重程度:高
受影响的产品:
Supermicro 选定的 BMC 固件H13 , X13 , H12 ,M12,以及X12 主板。
补救措施:
所有受影响的人Supermicro 主板 SKU 需要进行 BMC 固件更新以缓解这些潜在漏洞。
为缓解这些潜在漏洞,我们开发了更新后的BMC固件。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看版本说明以了解解决方案。
根据 OpenSSH 的回应(发布说明),虽然该漏洞在受控实验环境中测试成功,但利用该漏洞需要以服务器最大吞吐量进行约 6 至 8 小时的持续攻击尝试。尤其对于 BMC 固件而言,这种攻击方法会导致连接异常,最终导致攻击失败。
Supermicro 强烈建议采取适当措施保护设备对网络的访问安全,作为一项常规安全预防措施。 Supermicro 建议按照以下方式配置环境: Supermicro 为了确保设备在受保护的 IT 环境中运行,请遵循产品安全操作指南。更多信息请参阅产品安全网页,并遵循产品手册中的建议。
开发和公告:
Supermicro 目前尚未发现任何恶意利用这些漏洞的案例。