Supermicro ist sich der kürzlich (9. Dezember 2021) bekannt gewordenen Sicherheitslücke in der Open-Source-Java-Logging-Bibliothek „Log4j 2“ (auch bekannt als „Log4Shell“, CVE-2021-44228 ) von Apache bewusst und beteiligt sich gemeinsam mit der Branche mit höchster Priorität an deren Behebung. Zusätzlich zu der Sicherheitslücke CVE-2021-44228 Supermicro wird auch auf die Sicherheitslücken CVE-2021-45046 und CVE-2021-45105 eingegangen.
Am meisten Supermicro Anwendungen sind von diesen drei Schwachstellen nicht betroffen. Die einzige betroffene Anwendung ist Supermicro Power Manager (SPM). Um die Sicherheitslücken CVE-2021-44228 , CVE-2021-45046 und CVE-2021-45105 zu beheben, wird empfohlen, Log4j 2 im betroffenen Produkt (SPM) auf Version 2.17.0 zu aktualisieren.
Log4j 2.17.0 entfernt die Unterstützung für Nachrichtensuchmuster und deaktiviert standardmäßig die JNDI-Funktionalität. Zudem behebt Log4j 2.17.0 einen Stack-Overflow bei Kontext-Lookups in den Layoutmustern der Konfigurationsdatei und verhindert so Denial-of-Service-Angriffe.
Supermicro Es wird außerdem ein Update für SPM Version 1.11.1 veröffentlicht. Für SPM (Fernverwaltungssoftware) wird derzeit ein Validierungstest mit hoher Priorität durchgeführt, um das Update schnellstmöglich bereitzustellen. Als Übergangslösung kann der IT-Administrator die Zugriffsrechte auf SPM durch eine IP-Whitelist-Anwendung steuern und einschränken.
Zwei weitere CVEs, CVE-2021-4104 und CVE-2019-17571 , die eine Schwachstelle in Log4j 1.2 beschreiben, betreffen keine der Supermicro Produkte. Insbesondere Supermicro Server-Manager ( SSM ), Supermicro SuperDoctor ( SD5 SMCIPMITool und das vCenter-Plug-in, die Log4j 1.2 verwenden, sind nicht betroffen.
Der Supermicro Das Sicherheitsteam hat analysiert Supermicro Wir haben Firmware- und Softwareprodukte untersucht, um festzustellen, ob sie von den Sicherheitslücken in Apache Log4j 1.2 und Apache „Log4j 2“ betroffen sind. Die Ergebnisse sind in der folgenden Tabelle zusammengefasst.
Supermicro Wir werden die Situation weiterhin beobachten. Sollten weitere Produkte betroffen sein, wird dieses Bulletin aktualisiert. Für weitere Informationen oder Unterstützung kontaktieren Sie uns bitte. Supermicro Technische Unterstützung.
| Produkt | Betroffen von Apache „Log4j 1.2“ | Betroffen von Apache „Log4j 2“ | Zu ergreifende Abhilfemaßnahmen |
|---|---|---|---|
| BIOS | NEIN | NEIN | |
| BMC (alle Firmware-Zweige) | NEIN | NEIN | |
| Chassis-Management-Modul (CMM) | NEIN | NEIN | |
| SuperCloud Composer ( SCC ) | NEIN | NEIN | |
| Supermicro Server-Manager ( SSM ) | NEIN | NEIN | |
| Supermicro SuperDoctor ( SD5 ) | NEIN | NEIN | |
| Supermicro Energiemanager (SPM) | NEIN | Ja | Aktualisieren Sie auf Log4j 2.17.0. SPM-Veröffentlichung so schnell wie möglich. |
| SMCIPMITool | NEIN | NEIN | |
| IPMICFG | NEIN | NEIN | |
| IPMIView | NEIN | NEIN | |
| SCC Analysen | NEIN | NEIN | |
| SCC Pod Manager (PodM) | NEIN | NEIN | |
| vCenter-Plug-in | NEIN | NEIN | |
| SCOM-Plug-in | NEIN | NEIN | |
| Nagios-Plug-in | NEIN | NEIN | |
| Super Diagnostics Offline | NEIN | NEIN | |
| Supermicro Update-Manager ( SUM ) | NEIN | NEIN | |
| SUM Service ( SUM _SERVER) | NEIN | NEIN | |
| Supermicro Thin-Agent-Service ( TAS ) | NEIN | NEIN |