Divulgation de la vulnérabilité :
L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant les produits Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro tient à remercier le chercheur de l'université des sciences appliquées JAMK (Finlande) pour avoir découvert des vulnérabilités potentielles dans le micrologiciel IPMI de Supermicro BMC.
Résumé :
Un certain nombre de problèmes de sécurité ont été découverts dans certaines cartes Supermicro . Ces problèmes peuvent affecter le composant serveur web de BMC IPMI.
| Numéro CVE | Description | Sévérité |
|---|---|---|
| IPMI BMC SSDP/UPnP traversée de répertoire du serveur web et accès iKVM permettant le redémarrage de l'hôte | Haut | |
| Interface web administrative IPMI BMC Exécution de commandes à distance sur disquette virtuelle/USB | Haut | |
| Les dispositifs BMC IPMI utilisent des clés de chiffrement de fichier de configuration codées en dur, ce qui permet à un pirate de créer et de télécharger un fichier de configuration malveillant afin d'obtenir une exécution de commande à distance. | Haut |
Produits concernés :
Supermicro BMC dans certaines cartes mères X11, M11, X12, H12, B12, X13, H13, B13 et C9X299.
Remédiation :
Les cartes mères Supermicro concernées devront faire l'objet d'une mise à jour de la BMC afin d'atténuer ces vulnérabilités potentielles.
Une mise à jour du micrologiciel BMC a été créée pour atténuer ces vulnérabilités potentielles. Veuillez vérifier la mise à jour du micrologiciel BMC et les notes de mise à jour pour la résolution et contactez le support technique pour plus de détails.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro n'a pas connaissance d'annonces publiques ou d'utilisations malveillantes de ces vulnérabilités décrites dans cet avis.