Offenlegung von Schwachstellen:
Der Zweck dieser Veröffentlichung ist es, die potenziellen Schwachstellen, die Supermicro betreffen und von einem externen Forscher gemeldet wurden, zu kommunizieren.
Danksagung:
Supermicro möchte sich für die Arbeit von Alexander Tereshkin, NVIDIA Offensive Security Research Team, bedanken, der eine mögliche Schwachstelle in der Supermicro BMC IPMI Firmware entdeckt hat.
Zusammenfassung:
In ausgewählten Supermicro wurde eine Sicherheitslücke entdeckt. Dieses Problem betrifft die Webserver-Komponente des BMC.
| CVE-ID | Schweregrad | Beschreibung |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | Kritisch | Diese potenzielle Schwachstelle in Supermicro BMC kann durch einen Pufferüberlauf in der Funktion "GetValue" der Firmware entstehen, der durch eine fehlende Überprüfung des Eingabewertes verursacht wird. Ein nicht authentifizierter Benutzer kann speziell gestaltete Daten an die Schnittstelle senden, was einen Stapelpufferüberlauf auslöst und zur Ausführung von beliebigem entfernten Code auf einem BMC führen kann. |
Betroffene Produkte:
Supermicro BMC-Firmware in ausgewählten X11-, X12-, H12-, B12-, X13-, H13- und B13-Motherboards (und CMM6-Modulen).
Abhilfe:
Für alle betroffenen Supermicro Motherboard-SKUs ist ein BMC-Update erforderlich, um diese potenziellen Schwachstellen zu beseitigen.
Es wurde aktualisierte BMC-Firmware erstellt, um diese potenziellen Schwachstellen zu entschärfen. Supermicro testet und validiert derzeit die betroffenen Produkte. Bitte prüfen Sie die Versionshinweise für die Lösung.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro ist keine böswillige Nutzung dieser Schwachstellen in der freien Natur bekannt.