Divulgation de la vulnérabilité :
Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant les produits Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro tient à saluer le travail effectué par Alexander Tereshkin, de l'équipe de recherche en sécurité offensive de NVIDIA, pour la découverte d'une vulnérabilité potentielle dans le micrologiciel BMC IPMI de Supermicro.
Résumé :
Une faille de sécurité a été découverte dans certaines cartes mères Supermicro. Ce problème affecte le composant serveur web de leur BMC.
| ID CVE | Sévérité | Description |
|---|---|---|
| 36435 SMC-2023110008 | Critique | Cette vulnérabilité potentielle dans le BMC de Supermicro pourrait provenir d'un débordement de tampon dans la fonction « GetValue » du micrologiciel, causé par un manque de vérification de la valeur d'entrée. Un utilisateur non authentifié peut envoyer des données spécialement conçues à l'interface, ce qui déclenche un débordement de la mémoire tampon de la pile et peut conduire à une exécution arbitraire de code à distance sur un BMC. |
Produits concernés :
Micrologiciel BMC Supermicro dans certaines cartes mères X11, X12, H12, B12, X13, H13 et B13 (et modules CMM6).
Remédiation :
Toutes les références de cartes mères Supermicro concernées nécessiteront une mise à jour du BMC afin d'atténuer ces vulnérabilités potentielles.
Des micrologiciels BMC mis à jour ont été créés pour atténuer ces vulnérabilités potentielles. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de version pour la résolution.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le Guide des meilleures pratiques de configuration BMC et de configurer le délai d'attente de la session.
Exploitation et annonces publiques :
Supermicro n'a pas connaissance d'une quelconque utilisation malveillante de ces vulnérabilités en circulation.