研究人員已在 Supermicro BMC 的虛擬媒體功能中發現漏洞。BMC/IPMI 虛擬媒體是虛擬控制台的一項功能，可讓使用者將 CD/DVD 映像檔掛載至伺服器作為虛擬 CD/DVD 光碟機。這些漏洞包括虛擬媒體功能中的明文驗證、弱加密和驗證繞過。這些漏洞由實驗室研究人員發現，尚未在客戶環境中回報。

我們要感謝 Eclypsium 團隊向我們指出此問題，並在驗證修復方案的過程中給予合作。

業界最佳實踐是在隔離的私有網路中運行 BMC，該網路不暴露於網際網路上，此舉可降低但無法完全消除已識別的風險暴露。

另一種可能的臨時修復方案是透過封鎖TCP 623埠來停用虛擬媒體功能，並於日後升級至BMC/IPMI韌體的最新安全性修補程式。請依照以下步驟停用TCP 623埠：

新版 BMC 軟體已修復這些漏洞。請參閱下方各產品的詳細資訊。

資源：

• CVE-2019-16649
• CVE-2019-16650