Supermicro est au courant de la faille de sécurité récemment divulguée (9 décembre 2021) concernant la bibliothèque de journalisation open source Apache Java « Log4j 2 », également appelée « Log4Shell » ( CVE-2021-44228 ), et se joint à l'industrie pour atténuer l'exposition en priorité. Outre la faille CVE-2021-44228 , Supermicro corrige également les vulnérabilités de sécurité CVE-2021-45046 et CVE-2021-45105 .
La plupart Supermicro Les applications ne sont pas affectées par ces trois vulnérabilités. La seule application concernée est Supermicro Gestionnaire d'alimentation (SPM). Pour corriger les vulnérabilités CVE-2021-44228 , CVE-2021-45046 et CVE-2021-45105 , il est recommandé de mettre à jour Log4j 2 dans le produit concerné (SPM) vers la version 2.17.0.
Log4j 2.17.0 supprime la prise en charge des modèles de recherche de messages et désactive par défaut la fonctionnalité JNDI. Log4j 2.17.0 corrige également un dépassement de capacité de la pile lors des recherches de contexte dans les modèles de configuration, empêchant ainsi les attaques par déni de service.
Supermicro Une mise à jour de SPM version 1.11.1 sera également publiée. Pour SPM (logiciel de gestion à distance), un test de validation est en cours afin de publier la mise à jour au plus vite. En attendant, l'administrateur informatique peut configurer une liste blanche d'adresses IP pour contrôler et limiter l'accès à SPM.
Deux CVE supplémentaires, CVE-2021-4104 et CVE-2019-17571 , décrivant une vulnérabilité dans Log4j 1.2, n'affectent aucune des Supermicro produits. En particulier, Supermicro Gestionnaire de serveur ( SSM ), Supermicro SuperDocteur ( SD5 ), SMCIPMITool et le plug-in vCenter qui utilisent Log4j 1.2 ne sont pas affectés.
Le Supermicro L'équipe de sécurité a analysé Supermicro Nous avons analysé les micrologiciels et les logiciels afin de déterminer s'ils sont affectés par les failles de sécurité d'Apache Log4j 1.2 et d'Apache Log4j 2. Le tableau ci-dessous résume les résultats.
Supermicro Nous continuerons de suivre la situation. Si d'autres produits sont concernés, ce bulletin sera mis à jour. Pour plus d'informations ou d'assistance, veuillez nous contacter. Supermicro Assistance technique.
| Produit | Affecté par Apache « Log4j 1.2 » | Affecté par Apache « Log4j 2 » | Mesures d'atténuation à prendre |
|---|---|---|---|
| BIOS | Non | Non | |
| BMC (toutes les branches de firmware) | Non | Non | |
| Module de gestion du châssis (CMM) | Non | Non | |
| SuperCloud Composer (SCC) | Non | Non | |
| Supermicro Gestionnaire de serveur ( SSM ) | Non | Non | |
| Supermicro SuperDocteur ( SD5 ) | Non | Non | |
| Supermicro Gestionnaire d'alimentation (SPM) | Non | Oui | Mettez à jour Log4j vers la version 2.17.0. Publication du SPM imminente |
| SMCIPMITool | Non | Non | |
| IPMICFG | Non | Non | |
| IPMIView | Non | Non | |
| SCC Analytique | Non | Non | |
| SCC Gestionnaire de pods (PodM) | Non | Non | |
| Module d'extension vCenter | Non | Non | |
| Module d'extension SCOM | Non | Non | |
| Module complémentaire Nagios | Non | Non | |
| Super Diagnostics hors ligne | Non | NON | |
| Supermicro Gestionnaire de mises à jour ( SUM ) | Non | Non | |
| SUM Service ( SUM _SERVEUR) | Non | Non | |
| Supermicro Service d'agent léger ( TAS ) | Non | Non |