研究人员在 Supermicro BMC 的虚拟媒体功能中发现了漏洞。BMC/IPMI 虚拟媒体是虚拟控制台的一项功能，它允许用户将 CD/DVD 镜像作为虚拟 CD/DVD 驱动器连接到服务器。这些漏洞包括虚拟媒体功能中的明文认证、弱加密和认证绕过。这些漏洞由实验室研究人员发现，尚未在客户环境中报告。

我们谨向Eclypsium团队致谢，感谢他们向我们指出此问题，并协助验证修复方案。

行业最佳实践是在与互联网隔离的私有网络上运行BMC，这将降低但无法完全消除已识别的风险暴露。

另一种潜在的临时修复方案是通过封堵TCP端口623来禁用虚拟媒体功能，随后再升级至BMC/IPMI固件的最新安全补丁。请遵循以下步骤禁用TCP端口623：

BMC软件的新版本已修复这些漏洞。具体产品详情请参见下文。

资源

• CVE-2019-16649
• CVE-2019-16650