Divulgation des vulnérabilités :
Le but de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro produits signalés par un chercheur externe.
Reconnaissance:
Supermicro Je tiens à souligner le travail accompli par Alexander Tereshkin, de l'équipe de recherche en sécurité offensive de NVIDIA, pour la découverte d'une vulnérabilité potentielle dans Supermicro Firmware BMC IPMI.
Résumé:
Un problème de sécurité a été découvert dans certains éléments. Supermicro cartes mères. Ce problème affecte le composant serveur web de leur BMC.
| CVE ID | Sévérité | Description |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | Critique | Cette vulnérabilité potentielle dans Supermicro L'erreur BMC peut provenir d'un dépassement de tampon dans la fonction « GetValue » du firmware, causé par un manque de vérification de la valeur d'entrée. Un utilisateur non authentifié peut envoyer des données spécialement conçues à l'interface, ce qui déclenchera un dépassement de tampon de pile et pourra conduire à l'exécution de code à distance arbitraire sur un BMC. |
Produits concernés :
Supermicro Micrologiciel BMC dans certains X11 , X12 , H12 , B12, X13 , H13 et les cartes mères B13 (et les modules CMM6).
Remédiation :
Tous les concernés Supermicro Les références des cartes mères nécessiteront une mise à jour du BMC pour atténuer ces vulnérabilités potentielles.
Des mises à jour du firmware BMC ont été créées pour atténuer ces vulnérabilités potentielles. Supermicro Nous procédons actuellement à des tests et à la validation des produits concernés. Veuillez consulter les notes de version pour connaître la solution.
Pour réduire immédiatement la surface d'attaque, il est conseillé de suivre le guide des bonnes pratiques de configuration de BMC et de configurer le délai d'expiration de session.
Exploitation et annonces publiques :
Supermicro n'a connaissance d'aucune utilisation malveillante de ces vulnérabilités en conditions réelles.