Divulgation des vulnérabilités :
Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro produits signalés par un chercheur externe.
Reconnaissance:
Supermicro Nous tenons à souligner le travail accompli par le chercheur de l'Université des sciences appliquées JAMK, en Finlande, pour la découverte de vulnérabilités potentielles dans Supermicro Firmware BMC IPMI.
Résumé:
Plusieurs failles de sécurité ont été découvertes dans certains systèmes. Supermicro Ces problèmes peuvent affecter le composant serveur web de BMC IPMI.
| Numéro CVE | Description | Sévérité |
|---|---|---|
| Accès au répertoire du serveur web IPMI BMC SSDP/UPnP et à l'iKVM permettant le redémarrage de l'hôte | Haut | |
| Exécution de commandes à distance via disquette virtuelle/USB dans l'interface web d'administration IPMI BMC | Haut | |
| Les périphériques IPMI BMC utilisent des clés de chiffrement de fichiers de configuration intégrées, permettant à un attaquant de créer et de télécharger des packages de fichiers de configuration malveillants pour obtenir l'exécution de commandes à distance. | Haut |
Produits concernés :
Supermicro BMC dans la sélection X11 , M11, X12 , H12 , B12, X13 , H13 , cartes mères B13 et C9X299.
Remédiation :
Affecté Supermicro Les références des cartes mères nécessiteront une mise à jour du BMC pour atténuer ces vulnérabilités potentielles.
Une mise à jour du firmware BMC a été créée afin de corriger ces vulnérabilités potentielles. Veuillez consulter la page de mise à jour du firmware BMC et les notes de version pour connaître la solution, et contacter le support technique pour plus d'informations.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le guide des bonnes pratiques de configuration de BMC et de configurer le délai d'expiration de session.
Exploitation et annonces publiques :
Supermicro n'a connaissance d'aucune annonce publique ni d'aucune utilisation malveillante des vulnérabilités décrites dans le présent avis.