Divulgation de la vulnérabilité :
L'objectif de cette divulgation est de communiquer les vulnérabilités potentielles affectant Supermicro qui ont été signalées par un chercheur externe.
Remerciements :
Supermicro à saluer le travail accompli par l'équipe Binarly pour avoir découvert des vulnérabilités potentielles dans le micrologiciel Supermicro .
Résumé :
Deux problèmes de sécurité ont été découverts dans certaines Supermicro . Ces problèmes peuvent affecter le micrologiciel Supermicro .
| ID CVE | Sévérité | Type de problème | Description |
|---|---|---|---|
| Haut | Vérification incorrecte de la signature cryptographique | Une image de micrologiciel spécialement conçue peut contourner la logique de vérification du micrologiciel Supermicro de RoT 1.0 afin de mettre à jour le micrologiciel du système. L'image spécialement conçue dispose d'une table PDBA personnalisée de RoT 1.0 afin de rediriger le programme vers la fausse table PDBA dans la région non signée. Score Supermicro : 7,2 (AV : N/AC : L/PR : H/UI : N/S : U/C : H/I : H/A : H) | |
| Haut | Vérification incorrecte de la signature cryptographique | Une image de micrologiciel spécialement conçue peut contourner la logique de vérification du micrologiciel Supermicro de la table de signature afin de mettre à jour le micrologiciel du système. L'image spécialement conçue dispose d'une table de signature personnalisée afin de rediriger le programme vers la fausse table de signature dans la région non signée. Score Supermicro : 7,2 (AV : N/AC : L/PR : H/UI : N/S : U/C : H/I : H/A : H) |
Produits concernés :
Supermicro dans certaines cartes mères.
6198
| Carte mère | BMC FW avec le correctif |
|---|---|
| MBD-B12DPT | 01.07.01 |
| MBD-B12SPE-CPU-TF | 01.07.01 |
| MBD-BH12SSI-M25 | 01.07.01 |
| MBD-B12DPT-6 | 01.07.01 |
| MBD-H12SSFF-AN6 | 01.07.01 |
| MBD-X12DPG-OA6-GD2 | 01.07.01 |
| MBD-X12DPG-OA6 | 01.07.01 |
| MBD-B12DPE-6 | 01.07.01 |
| MBD-B12SPE-CPU-25G | 01.07.01 |
| MBD-X12DGQ-R | 01.07.01 |
| MBD-X12DPG-QR | 01.07.01 |
| MBD-H12DSG-CPU6-TI036 | 01.07.01 |
| MBD-X12STW-F | 01.07.01 |
| MBD-X12STW-TF | 01.07.01 |
| MBD-B3ST1-CPU-001 | 01.07.01 |
| MBD-X13DEM | 01.05.01 |
| MBD-X13DET-B | 01.05.01 |
| MBD-X13DSF-A | 01.05.01 |
| MBD-X13SEDW-F | 01.05.01 |
| MBD-X13SEED-F | 01.05.01 |
| MBD-X13SEED-SF | 01.05.01 |
| MBD-X13SEFR-A | 01.05.01 |
| MBD-X13SEM-F | 01.05.01 |
| MBD-X13SEM-TF | 01.05.01 |
| MBD-X13SET-PT | 01.05.01 |
| MBD-X13SEVR-SP13F | 01.05.01 |
| MBD-X13OEI-CPU | 01.05.01 |
| MBD-B13DEE | 01.05.01 |
| MBD-B13DET | 01.05.01 |
| MBD-B13SEE-CPU-25G | 01.05.01 |
| MBD-B13SEG | 01.05.01 |
| MBD-B4SA1-CPU | 01.05.01 |
| MBD-B4SC1-CPU | 01.05.01 |
| MBD-H13QSH | 01.05.01 |
| MBD-H13SRH | 01.05.01 |
| MBD-H13SSF | 01.05.01 |
| MBD-H13SSH | 01.05.01 |
| MBD-G1SMH-G | 01.05.01 |
| MBD-G1SMH | 01.05.01 |
| MBD-G2DMH-G | 01.05.01 |
| MBD-G2DMH-GI | 01.05.01 |
| MBD-X13DEH | 01.05.01 |
| MBD-X13SAW-F | 01.05.01 |
| MBD-X13SAW-TLN4F | 01.05.01 |
| MBD-X13SCW-F-B | 01.05.01 |
| MBD-X13SCW-F-O | 01.05.01 |
| MBD-X13SCW-F | 01.05.01 |
| MBD-X14DBM-AP | 01.03.00.01 |
| MBD-X14DBM-APL | 01.03.00.01 |
| MBD-X14DBM-SP | 01.03.00.01 |
| MBD-X14DBT-B | 01.03.00.01 |
| MBD-X14DBT-FAP | 01.03.00.01 |
| MBD-X14DBT-FLAP | 01.03.00.01 |
| MBD-X14QBH+ | 01.03.00.01 |
| MBD-X14SBH-AP | 01.03.00.01 |
| MBD-X14SBH | 01.03.00.01 |
| MBD-X14SBM-TF | 01.03.00.01 |
| MBD-X14SBM-TP4F | 01.03.00.01 |
| MBD-X14SDV-20C-SP3F | 01.03.00.01 |
| MBD-X14SDV-32C-SP3F | 01.03.00.01 |
| MBD-X14SDV-36C-SP3F | 01.03.00.01 |
| MBD-X14SDV-36CE-SP3F | 01.03.00.01 |
| MBD-X14SDV-42C-SP3F | 01.03.00.01 |
| MBD-X14SDW-36C-SP9F | 01.03.00.01 |
| MBD-X14SDW-36CE-SP9F | 01.03.00.01 |
| MBD-X14SDW-42C-SP9F | 01.03.00.01 |
| MBD-H13DSG-OM | 01.05.01 |
| MBD-B3SD1-20C-25G | 01.07.01 |
| MBD-X14SBHM | 01.03.00.01 |
| MBD-B14DBE-AP | 01.03.00.01 |
| MBD-B14DBE | 01.03.00.01 |
| MBD-B14DBT | 01.03.00.01 |
| MBD-B14SBE-CPU-25G | 01.03.00.01 |
| MBD-B14SBE-CPU-AP | 01.03.00.01 |
| MBD-X14DBG-GD | 01.03.00.01 |
| MBD-X14DBG-XAP | 01.03.00.01 |
| MBD-X14SBT-G | 01.03.00.01 |
| MBD-X14SBT-GAP | 01.03.00.01 |
| MBD-H14DSH-TI036 | 01.03.00.01 |
| MBD-H14DST-F | 01.03.00.01 |
| MBD-H14DSG-OD | 01.03.00.01 |
| MBD-H14DSG-OM | 01.03.00.01 |
| MBD-X14DBG-MAP | 01.03.00.01 |
| MBD-X14SBGM | 01.03.00.01 |
| MBD-X14DBG-LC+ | 01.03.00.01 |
| MBD-X14DBG-LC | 01.03.00.01 |
| MBD-X11DPFF-SNR | 1.01.26 |
| MBD-X11DPT-BR | 1.01.26 |
| MBB-CMM-003 | 01.02.04 |
| MBM-CMM-6-01-FI005 | 01.02.04 |
| MBM-CMM-FIO | 01.02.04 |
| MBB-CMM-6 | 01.02.04 |
| MBM-CMM-6-01-HN004 | 01.02.04 |
| MBM-CMM-FIO-01-FI005 | 01.02.04 |
| MBM-CMM-6 | 01.02.04 |
| MBM-CMM-6-IN001 | 01.02.04 |
| MBD-X12DPT-B6 | 01.07.01 |
| MBD-X12SPT-PT | 1.07.01 |
7937
| Carte mère | BMC FW avec le correctif |
|---|---|
| MBD-X11DGQ | 3.77.16 |
| MBD-X11DPD-L | 3.77.16 |
| MBD-X11DPD-M25 | 3.77.16 |
| MBD-X11DPFF-SN | 3.77.16 |
| MBD-X11DPL-I | 3.77.16 |
| MBD-X11DPS-R | 3.77.16 |
| MBD-X11DPS-RE | 3.77.16 |
| MBD-X11DPT-L | 3.77.16 |
| MBD-X11DSC+ | 3.77.16 |
| MBD-X11DSF-E | 3.77.16 |
| MBD-X11DSF | 3.77.16 |
| MBD-X11SCW-F-AM047 | 3.77.16 |
| MBD-X11SCW-F | 3.77.16 |
| MBD-X11SRI-IF | 3.77.16 |
| MBD-B12DPT | 01.07.03 |
| MBD-B12SPE-CPU-TF | 01.07.03 |
| MBD-BH12SSI-M25 | 01.07.03 |
| MBD-B12DPT-6 | 01.07.03 |
| MBD-H12SSFF-AN6 | 01.07.03 |
| MBD-X12DPG-OA6-GD2 | 01.07.03 |
| MBD-X12DPG-OA6 | 01.07.03 |
| MBD-B12DPE-6 | 01.07.03 |
| MBD-B12SPE-CPU-25G | 01.07.03 |
| MBD-X12DGQ-R | 01.07.03 |
| MBD-X12DPG-QR | 01.07.03 |
| MBD-H12DSG-CPU6-TI036 | 01.07.03 |
| MBD-X12STW-F | 01.07.03 |
| MBD-X12STW-TF | 01.07.03 |
| MBD-B3ST1-CPU-001 | 01.07.03 |
| MBD-X11DPFF-SNR | 1.01.26 |
| MBD-X11DPT-BR | 1.01.26 |
| MBD-X12DPT-B6 | 01.07.03 |
| MBD-X12SPT-PT | 1.07.01 |
Remédiation :
Les références Supermicro concernées nécessiteront une mise à jour BMC afin d'atténuer ces vulnérabilités potentielles.
Un micrologiciel BMC mis à jour a été créé afin d'atténuer ces vulnérabilités potentielles. Supermicro et valide actuellement les produits concernés. Veuillez consulter les notes de mise à jour pour connaître la solution.
Exploitation et annonces publiques :
Supermicro connaissance d'aucune exploitation malveillante de ces vulnérabilités dans la nature.