Divulgation de la vulnérabilité :
L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant les produits Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro souhaite remercier Alexander Tereshkin, de l'équipe de recherche en sécurité offensive de NVIDIA, pour avoir découvert une vulnérabilité potentielle dans le micrologiciel IPMI de Supermicro BMC.
Résumé :
Un problème de sécurité a été découvert dans certaines cartes mères Supermicro . Ce problème affecte le composant serveur web de leur BMC.
| ID CVE | Sévérité | Description |
|---|---|---|
| 36435 SMC-2023110008 | Critique | Cette vulnérabilité potentielle du Supermicro BMC peut provenir d'un débordement de mémoire tampon dans la fonction "GetValue" du micrologiciel, causé par un manque de vérification de la valeur d'entrée. Un utilisateur non authentifié peut envoyer des données spécialement conçues à l'interface, ce qui déclenche un débordement de la mémoire tampon de la pile et peut conduire à une exécution arbitraire de code à distance sur un BMC. |
Produits concernés :
Firmware Supermicro BMC dans certaines cartes mères X11, X12, H12, B12, X13, H13 et B13 (et modules CMM6).
Remédiation :
Toutes les cartes mères Supermicro concernées devront faire l'objet d'une mise à jour de la BMC afin d'atténuer ces vulnérabilités potentielles.
Des microprogrammes BMC mis à jour ont été créés pour atténuer ces vulnérabilités potentielles. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de mise à jour pour la résolution.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro n'a pas connaissance d'une utilisation malveillante de ces vulnérabilités dans la nature.