Supermicro est informé du problème de sécurité récemment divulgué (9 décembre 2021) lié à la bibliothèque de journalisation Java open-source Apache « Log4j 2 », également appelée « Log4Shell » (CVE-2021-44228), et s'associe à l'industrie pour atténuer l'exposition en priorité absolue. En plus du problème CVE-2021-44228, Supermicro s'attaque également aux vulnérabilités de sécurité CVE-2021-45046 et CVE-2021-45105.
La plupart des applications Supermicro ne sont pas affectées par ces trois vulnérabilités. La seule application impactée est Supermicro Power Manager (SPM). Pour remédier aux problèmes CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105, l'action recommandée est de mettre à jour Log4j 2 dans le produit affecté (SPM) vers la version 2.17.0.
Log4j 2.17.0 supprime la prise en charge des modèles de recherche de messages et désactive la fonctionnalité JNDI par défaut. Log4j 2.17.0 corrige également un débordement de pile dans les recherches de contexte dans les modèles de disposition du fichier de configuration et prévient ainsi les attaques par déni de service.
Supermicro publiera également une mise à jour de la version 1.11.1 de SPM. Pour SPM (logiciel de gestion à distance), un test de validation est effectué en haute priorité afin de publier la mise à jour dès que possible. La solution de contournement actuelle consiste pour l'administrateur informatique à effectuer une mise en liste blanche d'adresses IP pour contrôler et limiter l'accès à SPM.
Deux CVE supplémentaires CVE-2021-4104 et CVE-2019-17571, qui décrivent une vulnérabilité dans Log4j 1.2, n'affectent aucun des produits Supermicro. En particulier, Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool et le plug-in vCenter qui utilisent Log4j 1.2 ne sont pas affectés.
L'équipe de sécurité de Supermicro a analysé les produits micrologiciels et logiciels de Supermicro afin de déterminer si l'un d'entre eux est affecté par les vulnérabilités de sécurité Apache Log4j 1.2 et Apache « Log4j 2 ». Vous trouverez ci-dessous le tableau qui résume les résultats.
Supermicro continuera de surveiller la situation. Si d'autres produits sont identifiés comme étant affectés, ce bulletin sera mis à jour. Si vous avez besoin de détails supplémentaires ou d'assistance, veuillez contacter le support technique de Supermicro.
| Produit | Affecté par Apache "Log4j 1.2" | Affecté par Apache "Log4j 2" | Mesures d'atténuation à prendre |
|---|---|---|---|
| BIOS | Non | Non | |
| BMC (toutes les branches du firmware) | Non | Non | |
| Module de gestion du châssis (CMM) | Non | Non | |
| SuperCloud Composer (SCC) | Non | Non | |
| Gestionnaire de serveurs Supermicro (SSM) | Non | Non | |
| Supermicro SuperDoctor (SD5) | Non | Non | |
| Supermicro Power Manager (SPM) | Non | Oui | Mise à jour vers Log4j 2.17.0. SPM Release pending ASAP |
| SMCIPMITool | Non | Non | |
| IPMICFG | Non | Non | |
| IPMIView | Non | Non | |
| SCC | Non | Non | |
| Gestionnaire SCC (PodM) | Non | Non | |
| Plug-in vCenter | Non | Non | |
| Plug-in SCOM | Non | Non | |
| Plug-in Nagios | Non | Non | |
| Super Diagnostics hors ligne | Non | NON | |
| Supermicro Update Manager (SUM) | Non | Non | |
| SUM (SUM) | Non | Non | |
| Service Thin-Agent Supermicro (TAS) | Non | Non |