服务定位协议 SLP 中的反射式拒绝服务 (DoS) 放大漏洞
漏洞披露:
此漏洞披露旨在传达外部发现的 Supermicro 产品潜在漏洞信息。
调查结果
服务定位协议(SLP)允许未经验证的远程攻击者注册任意服务。这样,攻击者就可以利用欺骗性 UDP 流量来实施具有显著放大系数的拒绝服务(DoS)攻击。
CVE:
- CVE:CVE-2023-29552
- 严重性:高
受影响的产品:
受影响的产品是运行在刀片机箱管理模块 (CMM) 上的 Supermicro BMC 固件
解决方案:
- CMM邻居功能将通过SLP在CMM上禁用。
- 若用户选择启用CMM邻域功能,系统将发出警告。