Divulgation de la vulnérabilité :
L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro would like to acknowledge the work done by the researcher from JAMK University of Applied Sciences, Finland for discovering potential vulnerabilities in Supermicro BMC IPMI Firmware.
Résumé :
A number of security issues have been discovered in select Supermicro boards. These issues may affect the web server component of BMC IPMI.
| Numéro CVE | Description | Sévérité |
|---|---|---|
| IPMI BMC SSDP/UPnP traversée de répertoire du serveur web et accès iKVM permettant le redémarrage de l'hôte | Haut | |
| Interface web administrative IPMI BMC Exécution de commandes à distance sur disquette virtuelle/USB | Haut | |
| Les dispositifs BMC IPMI utilisent des clés de chiffrement de fichier de configuration codées en dur, ce qui permet à un pirate de créer et de télécharger un fichier de configuration malveillant afin d'obtenir une exécution de commande à distance. | Haut |
Produits concernés :
Supermicro BMC in select X11, M11, X12, H12, B12, X13, H13, B13 and C9X299 motherboards.
Remédiation :
Les références Supermicro concernées nécessiteront une mise à jour BMC afin d'atténuer ces vulnérabilités potentielles.
Une mise à jour du micrologiciel BMC a été créée pour atténuer ces vulnérabilités potentielles. Veuillez vérifier la mise à jour du micrologiciel BMC et les notes de mise à jour pour la résolution et contactez le support technique pour plus de détails.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro is not aware of any public announcements or malicious use of these vulnerabilities that is described in this advisory.