Supermicro sich des kürzlich (am 9. Dezember 2021) bekannt gewordenen Sicherheitsproblems im Zusammenhang mit der Open-Source-Java-Logging-Bibliothek „Log4j 2“ (auch als „Log4Shell“ bezeichnet,CVE-2021-44228) bewusst und schließt sich der Branche an, um die Gefährdung mit hoher Priorität zu mindern. Neben dem Problem CVE-2021-44228 Supermicro auch mit den Sicherheitslücken CVE-2021-45046 und CVE-2021-45105.
Die meisten Supermicro sind von diesen drei Sicherheitslücken nicht betroffen. Die einzige betroffene Anwendung ist Supermicro Manager (SPM). Um die Probleme CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 zu beheben, wird empfohlen, Log4j 2 im betroffenen Produkt (SPM) auf Version 2.17.0 zu aktualisieren.
Log4j 2.17.0 entfernt die Unterstützung für Message Lookup Patterns und deaktiviert die JNDI-Funktionalität standardmäßig. Log4j 2.17.0 behebt außerdem einen Stapelüberlauf bei Context Lookups in den Layout-Patterns der Konfigurationsdatei und verhindert so Denial-of-Service-Angriffe.
Supermicro außerdem ein Update für SPM Version 1.11.1 veröffentlichen. Für SPM (Fernverwaltungssoftware) wird derzeit mit hoher Priorität ein Validierungstest durchgeführt, um das Update so schnell wie möglich zu veröffentlichen. Die derzeitige Abhilfe besteht darin, dass IT-Administratoren eine IP-Whitelist erstellen, um den Zugriff auf SPM zu kontrollieren und zu beschränken.
Zwei weitere CVEs, CVE-2021-4104 und CVE-2019-17571, die Schwachstellen in Log4j 1.2 beschreiben, haben keine Auswirkungen auf Supermicro . Insbesondere Supermicro Manager (SSM), Supermicro (SD5), SMCIPMITool und vCenter Plug-in, die Log4j 1.2 verwenden, sind nicht betroffen.
Supermicro hat Supermicro und Softwareprodukte Supermicro analysiert, um festzustellen, ob eines davon von den Sicherheitslücken in Apache Log4j 1.2 und Apache „Log4j 2“ betroffen ist. Die folgende Tabelle fasst die Ergebnisse zusammen.
Supermicro die Situation weiterhin beobachten. Sollten weitere Produkte betroffen sein, wird diese Mitteilung aktualisiert. Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den Supermicro Support Supermicro .
| Produkt | Betroffen von Apache "Log4j 1.2" | Betroffen von Apache "Log4j 2" | Zu treffende Abhilfemaßnahmen |
|---|---|---|---|
| BIOS | Nein | Nein | |
| BMC (alle Firmware-Zweige) | Nein | Nein | |
| Chassis-Management-Modul (CMM) | Nein | Nein | |
| SuperCloud Composer (SCC) | Nein | Nein | |
| Supermicro Manager (SSM) | Nein | Nein | |
| Supermicro (SD5) | Nein | Nein | |
| Supermicro Manager (SPM) | Nein | Ja | Aktualisieren Sie auf Log4j 2.17.0. SPM-Freigabe anstehend ASAP |
| SMCIPMITool | Nein | Nein | |
| IPMICFG | Nein | Nein | |
| IPMIView | Nein | Nein | |
| SCC-Analytik | Nein | Nein | |
| SCC Pod Manager (PodM) | Nein | Nein | |
| vCenter-Plug-in | Nein | Nein | |
| SCOM-Plugin | Nein | Nein | |
| Nagios-Plugin | Nein | Nein | |
| Super Diagnostik Offline | Nein | NO | |
| Supermicro Manager (SUM) | Nein | Nein | |
| SUM-Dienst (SUM_SERVER) | Nein | Nein | |
| Supermicro (TAS) | Nein | Nein |