Supermicro est conscient du problème de sécurité récemment divulgué (9 décembre 2021) lié à la bibliothèque de journalisation Java Apache open-source "Log4j 2" également appelée "Log4Shell"(CVE-2021-44228) et se joint à l'industrie pour atténuer l'exposition avec une priorité élevée. Outre le problème CVE-2021-44228, Supermicro s'attaque également aux vulnérabilités de sécurité CVE-2021-45046 et CVE-2021-45105.
La plupart des applications Supermicro ne sont pas affectées par ces trois vulnérabilités. La seule application concernée est Supermicro Power Manager (SPM). Pour remédier aux problèmes CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105, l'action recommandée est de mettre à jour Log4j 2 dans le produit concerné (SPM) vers la version 2.17.0.
Log4j 2.17.0 supprime la prise en charge des modèles de recherche de messages et désactive la fonctionnalité JNDI par défaut. Log4j 2.17.0 corrige également un débordement de pile dans les recherches de contexte dans les modèles de disposition du fichier de configuration et prévient ainsi les attaques par déni de service.
Supermicro publiera également une mise à jour de la version 1.11.1 de SPM. Pour SPM (logiciel de gestion à distance), un test de validation est en cours avec une priorité élevée afin de publier la mise à jour le plus rapidement possible. La solution actuelle consiste pour l'administrateur informatique à établir une liste blanche d'adresses IP afin de contrôler et de limiter l'accès à SPM.
Deux autres CVE CVE-2021-4104 et CVE-2019-17571 qui décrivent une vulnérabilité dans Log4j 1.2 n'affectent aucun des produits Supermicro . En particulier, Supermicro Server Manager (SSM), Supermicro SuperDoctor (SD5), SMCIPMITool, et vCenter Plug-in qui utilisent Log4j 1.2 ne sont pas affectés.
L'équipe de sécurité de Supermicro a analysé les micrologiciels et les logiciels Supermicro afin de déterminer si certains d'entre eux sont affectés par les vulnérabilités de sécurité Apache Log4j 1.2 et Apache "Log4j 2". Le tableau ci-dessous résume les résultats.
Supermicro continuera à surveiller la situation. Si d'autres produits sont concernés, ce bulletin sera mis à jour. Si vous avez besoin de détails supplémentaires ou d'aide, veuillez contacter le support technique de Supermicro .
| Produit | Affecté par Apache "Log4j 1.2" | Affecté par Apache "Log4j 2" | Mesures d'atténuation à prendre |
|---|---|---|---|
| BIOS | Non | Non | |
| BMC (toutes les branches du firmware) | Non | Non | |
| Module de gestion du châssis (CMM) | Non | Non | |
| SuperCloud Composer (SCC) | Non | Non | |
| Gestionnaire de serveur Supermicro (SSM) | Non | Non | |
| Supermicro SuperDoctor (SD5) | Non | Non | |
| Supermicro Power Manager (SPM) | Non | Oui | Mise à jour vers Log4j 2.17.0. SPM Release pending ASAP |
| SMCIPMITool | Non | Non | |
| IPMICFG | Non | Non | |
| IPMIView | Non | Non | |
| Analyse du CCN | Non | Non | |
| Gestionnaire de pods SCC (PodM) | Non | Non | |
| Plug-in vCenter | Non | Non | |
| Plug-in SCOM | Non | Non | |
| Plug-in Nagios | Non | Non | |
| Super Diagnostics hors ligne | Non | NON | |
| Supermicro Update Manager (SUM) | Non | Non | |
| Service SUM (SUM_SERVER) | Non | Non | |
| Supermicro Thin-Agent Service (TAS) | Non | Non |