Offenlegung von Schwachstellen:
Der Zweck dieser Offenlegung besteht darin, die potenziellen Schwachstellen zu kommunizieren, die Supermicro betreffen und von einem externen Forscher gemeldet wurden.
Danksagung:
Supermicro Alexander Tereshkin vom NVIDIA Offensive Security Research Team für seine Arbeit zur Aufdeckung einer potenziellen Sicherheitslücke in der Supermicro IPMI-Firmware danken.
Zusammenfassung:
Bei bestimmten Supermicro wurde ein Sicherheitsproblem entdeckt. Dieses Problem betrifft die Webserver-Komponente ihres BMC.
| CVE-ID | Schweregrad | Beschreibung |
|---|---|---|
| 36435 SMC-2023110008 | Kritisch | Diese potenzielle Schwachstelle in Supermicro kann durch einen Pufferüberlauf in der Funktion „GetValue” der Firmware verursacht werden, der durch eine fehlende Überprüfung des Eingabewerts entsteht. Ein nicht authentifizierter Benutzer kann speziell gestaltete Daten an die Schnittstelle senden, was einen Stapelpufferüberlauf auslöst und zur Ausführung von beliebigem entfernten Code auf einem BMC führen kann. |
Betroffene Produkte:
Supermicro -Firmware in ausgewählten X11-, X12-, H12-, B12-, X13-, H13- und B13-Motherboards (und CMM6-Modulen).
Abhilfe:
Alle betroffenen Supermicro -SKUs erfordern ein BMC-Update, um diese potenziellen Sicherheitslücken zu schließen.
Es wurde eine aktualisierte BMC-Firmware erstellt, um diese potenziellen Sicherheitslücken zu beheben. Supermicro und validiert derzeit die betroffenen Produkte. Die Lösung finden Sie in den Versionshinweisen.
Als sofortige Abhilfe, um die Angriffsfläche zu reduzieren, wird empfohlen, den BMC-Konfigurationsleitfaden für bewährte Praktiken zu folgen und eine Sitzungszeitüberschreitung zu konfigurieren.
Ausbeutung und öffentliche Bekanntmachungen:
Supermicro keine Fälle bekannt, in denen diese Schwachstellen in der Praxis missbräuchlich genutzt wurden.