Supermicro connaissance du problème de sécurité récemment révélé (9 décembre 2021) concernant la bibliothèque de journalisation open source Apache Java « Log4j 2 », également appelée « Log4Shell » (CVE-2021-44228), et se joint à l'industrie pour atténuer l'exposition à ce problème en priorité. Outre le problème CVE-2021-44228, Supermicro également des vulnérabilités de sécurité CVE-2021-45046 et CVE-2021-45105.
La plupart Supermicro ne sont pas concernées par ces trois vulnérabilités. La seule application concernée est Supermicro Manager (SPM). Pour remédier aux problèmes CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105, il est recommandé de mettre à jour Log4j 2 dans le produit concerné (SPM) vers la version 2.17.0.
Log4j 2.17.0 supprime la prise en charge des modèles de recherche de messages et désactive la fonctionnalité JNDI par défaut. Log4j 2.17.0 corrige également un débordement de pile dans les recherches de contexte dans les modèles de disposition du fichier de configuration et prévient ainsi les attaques par déni de service.
Supermicro également une mise à jour de la version 1.11.1 du SPM. Pour le SPM (logiciel de gestion à distance), un test de validation est actuellement effectué en priorité afin de publier la mise à jour dès que possible. La solution provisoire consiste pour l'administrateur informatique à mettre en place une liste blanche d'adresses IP afin de contrôler et de limiter l'accès au SPM.
Deux CVE supplémentaires, CVE-2021-4104 et CVE-2019-17571, qui décrivent une vulnérabilité dans Log4j 1.2, n'affectent aucun des Supermicro . En particulier, Supermicro Manager (SSM), Supermicro (SD5), SMCIPMITool et vCenter Plug-in, qui utilisent Log4j 1.2, ne sont pas concernés.
L'équipe Supermicro a analysé Supermicro et les logiciels Supermicro afin de déterminer si certains d'entre eux étaient concernés par les failles de sécurité Apache Log4j 1.2 et Apache « Log4j 2 ». Le tableau ci-dessous résume les résultats de cette analyse.
Supermicro surveiller la situation. Si d'autres produits sont concernés, cette note sera mise à jour. Si vous avez besoin d'informations supplémentaires ou d'assistance, veuillez contacter le support Supermicro .
| Produit | Affecté par Apache "Log4j 1.2" | Affecté par Apache "Log4j 2" | Mesures d'atténuation à prendre |
|---|---|---|---|
| BIOS | Non | Non | |
| BMC (toutes les branches du firmware) | Non | Non | |
| Module de gestion du châssis (CMM) | Non | Non | |
| SuperCloud Composer (SCC) | Non | Non | |
| Gestionnaire Supermicro (SSM) | Non | Non | |
| Supermicro (SD5) | Non | Non | |
| Supermicro Manager (SPM) | Non | Oui | Mise à jour vers Log4j 2.17.0. SPM Release pending ASAP |
| SMCIPMITool | Non | Non | |
| IPMICFG | Non | Non | |
| IPMIView | Non | Non | |
| Analyse du CCN | Non | Non | |
| Gestionnaire de pods SCC (PodM) | Non | Non | |
| Plug-in vCenter | Non | Non | |
| Plug-in SCOM | Non | Non | |
| Plug-in Nagios | Non | Non | |
| Super Diagnostics hors ligne | Non | NON | |
| Gestionnaire Supermicro (SUM) | Non | Non | |
| Service SUM (SUM_SERVER) | Non | Non | |
| Service Supermicro (TAS) Supermicro | Non | Non |