Divulgation de la vulnérabilité :
L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro à remercier Alexander Tereshkin, membre de l'équipe de recherche en sécurité offensive de NVIDIA, pour avoir découvert une vulnérabilité potentielle dans le micrologiciel IPMI Supermicro .
Résumé :
Un problème de sécurité a été découvert sur certaines Supermicro . Ce problème affecte le composant serveur web de leur BMC.
| ID CVE | Sévérité | Description |
|---|---|---|
| 36435 SMC-2023110008 | Critique | Cette vulnérabilité potentielle dans Supermicro peut provenir d'un débordement de tampon dans la fonction « GetValue » du micrologiciel, causé par l'absence de vérification de la valeur d'entrée. Un utilisateur non authentifié peut envoyer des données spécialement conçues à l'interface, ce qui déclenche un débordement de la mémoire tampon de la pile et peut conduire à une exécution arbitraire de code à distance sur un BMC. |
Produits concernés :
Micrologiciel Supermicro dans certaines cartes mères X11, X12, H12, B12, X13, H13 et B13 (et modules CMM6).
Remédiation :
Toutes les références Supermicro concernées nécessiteront une mise à jour BMC afin d'atténuer ces vulnérabilités potentielles.
Une mise à jour du micrologiciel BMC a été créée afin d'atténuer ces vulnérabilités potentielles. Supermicro et valide actuellement les produits concernés. Veuillez consulter les notes de mise à jour pour connaître la solution.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro connaissance d'aucune utilisation malveillante de ces vulnérabilités dans la nature.