Supermicro 已獲悉近期揭露(2021 年 12 月 9 日)與開源 Apache Java 日誌函式庫「Log4j 2」(亦稱為「Log4Shell」)(CVE-2021-44228)相關的安全問題,並與業界共同優先處理,以減輕其影響。除了 CVE-2021-44228 問題之外,Supermicro 亦正在處理 CVE-2021-45046 和 CVE-2021-45105 安全漏洞。
大多數 Supermicro 應用程式不受這三個漏洞影響。唯一受影響的應用程式是 Supermicro Power Manager (SPM)。為解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 問題,建議採取的行動是將受影響產品 (SPM) 中的 Log4j 2 更新至 2.17.0 版。
Log4j 2.17.0 移除對訊息查詢模式的支援,並在預設情況下停用 JNDI 功能。Log4j 2.17.0 也修正了配置檔佈局模式中 Context Lookups 的堆疊滿溢問題,因此可防止拒絕服務攻擊。
Supermicro 也將發布 SPM 1.11.1 版的更新。針對 SPM(遠端管理軟體),正在優先執行驗證測試,以盡快發布更新。目前的權宜之計是讓 IT 管理員執行 IP 白名單設定,以控制和限制對 SPM 的存取。
另外兩個描述 Log4j 1.2 中漏洞的 CVE CVE-2021-4104 和 CVE-2019-17571 不影響任何 Supermicro 產品。特別是,使用 Log4j 1.2 的 Supermicro Server Manager (SSM)、Supermicro SuperDoctor (SD5)、SMCIPMITool 和 vCenter 外掛程式不受影響。
Supermicro 安全團隊已分析 Supermicro 韌體和軟體產品,以了解其中是否有任何產品受到 Apache Log4j 1.2 和 Apache「Log4j 2」安全漏洞的影響。以下表格總結了結果。
Supermicro 將持續監控情況。如果發現有其他產品受到影響,本公告將會更新。如果您需要更多詳細資訊或協助,請聯繫 Supermicro 技術支援。
| 產品 | 受 Apache "Log4j 1.2" 影響 | 受 Apache "Log4j 2" 影響 | 要採取的緩解行動 |
|---|---|---|---|
| 基本輸入輸出系統 | 不 | 不 | |
| BMC (所有韌體分支) | 不 | 不 | |
| 機箱管理模組 (CMM) | 不 | 不 | |
| SuperCloud Composer(SCC) | 不 | 不 | |
| Supermicro Server Manager (SSM) | 不 | 不 | |
| Supermicro SuperDoctor (SD5) | 不 | 不 | |
| Supermicro 電源管理器 (SPM) | 不 | 是的 | 升級至 Log4j 2.17.0。 SPM 發佈待定 |
| SMCIPMI工具 | 不 | 不 | |
| IPMICFG | 不 | 不 | |
| IPMIView | 不 | 不 | |
| SCC 分析 | 不 | 不 | |
| SCC Pod Manager (PodM) | 不 | 不 | |
| vCenter 外掛程式 | 不 | 不 | |
| SCOM 外掛程式 | 不 | 不 | |
| Nagios 外掛程式 | 不 | 不 | |
| 超級診斷離線模式 | 不 | 無 | |
| Supermicro Update Manager (SUM) | 不 | 不 | |
| SUM 服務 (SUM_SERVER) | 不 | 不 | |
| Supermicro Thin-Agent Service (TAS) | 不 | 不 |