Offenlegung der Sicherheitslücke:
Zweck dieser Offenlegung ist es, auf die potenziellen Schwachstellen hinzuweisen, die Folgendes betreffen: Supermicro Produkte, über die ein externer Forscher berichtete.
Anerkennung:
Supermicro möchte die Arbeit von Alexander Tereshkin vom NVIDIA Offensive Security Research Team für die Entdeckung einer potenziellen Sicherheitslücke anerkennen. Supermicro BMC IPMI-Firmware.
Zusammenfassung:
In ausgewählten Systemen wurde eine Sicherheitslücke entdeckt. Supermicro Motherboards. Dieses Problem betrifft die Webserver-Komponente ihres BMC.
| CVE-ID | Schwere | Beschreibung |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | Kritisch | Diese potenzielle Schwachstelle in Supermicro BMC kann durch einen Pufferüberlauf in der „GetValue“-Funktion der Firmware verursacht werden, der auf eine fehlende Überprüfung des Eingabewerts zurückzuführen ist. Ein nicht authentifizierter Benutzer kann speziell präparierte Daten an die Schnittstelle senden, was einen Stack-Buffer-Overflow auslöst und unter Umständen zur Ausführung beliebigen Remote-Codes auf einem BMC führen kann. |
Betroffene Produkte:
Supermicro BMC-Firmware in ausgewählten X11 , X12 , H12 , B12, X13 , H13 und B13-Motherboards (und CMM6-Module).
Abhilfe:
Alle Betroffenen Supermicro Für die Behebung dieser potenziellen Sicherheitslücken ist ein BMC-Update erforderlich.
Um diese potenziellen Sicherheitslücken zu beheben, wurde die BMC-Firmware aktualisiert. Supermicro Die betroffenen Produkte werden derzeit getestet und validiert. Die Lösung entnehmen Sie bitte den Versionshinweisen.
Als Sofortmaßnahme zur Verringerung der Angriffsfläche wird empfohlen, den BMC Configuration Best Practices Guide zu befolgen und ein Session-Timeout zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro ist kein Fall bekannt, in dem diese Sicherheitslücken in freier Wildbahn missbräuchlich genutzt wurden.