Supermicro está al tanto del problema de seguridad recientemente divulgado (9 de diciembre de 2021) relacionado con la biblioteca de registro de código abierto Apache Java “Log4j 2”, también conocida como “Log4Shell” ( CVE-2021-44228 ), y se une a la industria para mitigar la exposición con alta prioridad. Además del problema CVE-2021-44228 , Supermicro También se están abordando las vulnerabilidades de seguridad CVE-2021-45046 y CVE-2021-45105 .
Mayoría Supermicro Las aplicaciones no se ven afectadas por estas tres vulnerabilidades. La única aplicación afectada es Supermicro Administrador de energía (SPM). Para solucionar los problemas CVE-2021-44228 , CVE-2021-45046 y CVE-2021-45105 , la acción recomendada es actualizar Log4j 2 en el producto afectado (SPM) a la versión 2.17.0.
Log4j 2.17.0 elimina la compatibilidad con patrones de búsqueda de mensajes y desactiva la funcionalidad JNDI por defecto. Además, Log4j 2.17.0 corrige el desbordamiento de pila en las búsquedas de contexto en los patrones de diseño del archivo de configuración, evitando así ataques de denegación de servicio.
Supermicro También se lanzará una actualización para SPM versión 1.11.1. Para SPM (software de administración remota), se está realizando una prueba de validación con alta prioridad para lanzar la actualización lo antes posible. La solución provisional actual consiste en que el administrador de TI cree una lista blanca de direcciones IP para controlar y limitar el acceso a SPM.
Dos CVE adicionales, CVE-2021-4104 y CVE-2019-17571 , que describen una vulnerabilidad en Log4j 1.2, no afectan a ninguno de los Supermicro productos. En particular, Supermicro Administrador del servidor ( SSM ), Supermicro SuperDoctor ( SD5 ), SMCIPMITool y el complemento de vCenter que utilizan Log4j 1.2 no se ven afectados.
El Supermicro El equipo de seguridad ha analizado Supermicro Se analizaron productos de firmware y software para determinar si alguno de ellos se ve afectado por las vulnerabilidades de seguridad de Apache Log4j 1.2 y Apache Log4j 2. A continuación, se muestra una tabla que resume los resultados.
Supermicro Continuaremos monitoreando la situación. En caso de que se detecte que otros productos se ven afectados, este boletín se actualizará. Si necesita más detalles o asistencia, póngase en contacto con nosotros. Supermicro Apoyo técnico.
| Cantidad de productos. | Afectado por Apache “Log4j 1.2” | Afectado por Apache “Log4j 2” | Medidas de mitigación que deben adoptarse |
|---|---|---|---|
| BIOS | No | No | |
| BMC (todas las ramas de firmware) | No | No | |
| Módulo de gestión del chasis (CMM) | No | No | |
| SuperCloud Composer ( SCC ) | No | No | |
| Supermicro Server Manager (SSM) | No | No | |
| Supermicro SuperDoctor ( SD5 ) | No | No | |
| Gestor de alimentación Supermicro (SPM) | No | Sí | Actualizar a Log4j 2.17.0. Lanzamiento de SPM pendiente lo antes posible. |
| SMCIPMITool | No | No | |
| IPMICFG | No | No | |
| IPMIView | No | No | |
| SCC Analítica | No | No | |
| SCC Administrador de pods (PodM) | No | No | |
| Complemento de vCenter | No | No | |
| Complemento SCOM | No | No | |
| Complemento de Nagios | No | No | |
| Super Diagnóstico Offline | No | NO | |
| Supermicro Administrador de actualizaciones ( SUM ) | No | No | |
| SUM Servicio ( SUM _SERVIDOR) | No | No | |
| Servicio Thin-Agent (TAS) de Supermicro | No | No |