漏洞Supermicro BMC IPMI 固件,2024 年 7 月
漏洞披露:
本次揭露的目的是為了說明可能影響系統的潛在漏洞Supermicro 由外部研究人員報告的產品。
致謝:
Supermicro 謹此感謝 NVIDIA 攻擊性安全研究團隊的 Alexander Tereshkin 發現了潛在的漏洞。 Supermicro BMC IPMI韌體。
概括:
已發現部分組件有安全問題。 Supermicro 主機板。此問題會影響其 BMC 的 Web 伺服器元件。
| CVE ID | 嚴重程度 | 描述 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 批判的 | 這種潛在漏洞Supermicro BMC 可能是由於韌體的「GetValue」函數中缺少對輸入值的檢查而導致的緩衝區溢位造成的。 未經身份驗證的使用者可以向介面發布特製數據,這將觸發堆疊緩衝區溢出,並可能導致在 BMC 上執行任意遠端程式碼。 |
受影響產品:
Supermicro 選定的 BMC 韌體X11 , X12 , H12 ,B12, X13 , H13以及 B13 主機板(和 CMM6 模組)。
補救措施:
所有受影響的人Supermicro 主機板 SKU 需要進行 BMC 更新以緩解這些潛在漏洞。
已開發出更新的BMC固件,以緩解這些潛在漏洞。 Supermicro 目前正在對受影響的產品進行測試和驗證。請查看版本說明以了解解決方案。
為了立即減少攻擊面,建議遵循BMC 設定最佳實踐指南並設定會話逾時。
剝削和公開聲明:
Supermicro 目前尚未發現這些漏洞被惡意利用的情況。