Supermicro 、オープンソースのApache Javaロギングライブラリ「Log4j 2」(別名「Log4Shell」、CVE-2021-44228)に関連する、2021年12月9日に公表されたセキュリティ問題についてSupermicro 、業界と連携して最優先で影響軽減に取り組んでおります。CVE-2021-44228の問題に加え、Supermicro CVE-2021-45046およびCVE-2021-45105のセキュリティ脆弱性についても対応Supermicro 。
Supermicro 、これら3つの脆弱性の影響を受けません。 影響を受けるアプリケーションは、Supermicro Manager(SPM)のみです。CVE-2021-44228、CVE-2021-45046、およびCVE-2021-45105の問題を修正するためには、影響を受ける製品(SPM)内のLog4j 2をバージョン2.17.0に更新することを推奨いたします。
Log4j 2.17.0は、メッセージ・ルックアップ・パターンのサポートを削除し、デフォルトでJNDI機能を無効にします。Log4j 2.17.0はまた、構成ファイルのレイアウトパターンのContext Lookupsのスタックオーバーフローを修正し、したがって、サービス拒否攻撃を防ぎます。
Supermicro SPMバージョン1.11.1のアップデートもSupermicro 。SPM(リモート管理ソフトウェア)については、アップデートを一日も早くリリースするため、検証テストを最優先で実施しております。現在の暫定的な対応策として、IT管理者はIPアドレスのホワイトリスト登録を行い、SPMへのアクセスを制御・制限していただくようお願いいたします。
Log4j 1.2の脆弱性を説明する追加の2つのCVE(CVE-2021-4104およびCVE-2019-17571)は、Supermicro 一切影響を及ぼしません。特に、Log4j 1.2を使用するSupermicro Manager(SSM)、Supermicro (SD5)、SMCIPMITool、およびvCenterプラグインは影響を受けません。
Supermicro Apache Log4j 1.2 および Apache「Log4j 2」のセキュリティ脆弱性の影響を受ける可能性があるか否かを調査するため、Supermicro 分析いたしました。以下にその結果をまとめた表を掲載いたします。
Supermicro 引き続き状況を監視Supermicro 。他の製品に影響が確認された場合には、本通知を更新いたします。詳細情報またはサポートが必要な場合は、Supermicro お問い合わせください。
| 製品 | Apache "Log4j 1.2 "の影響を受けます。 | Apache "Log4j 2" の影響 | 取るべき緩和措置 |
|---|---|---|---|
| バイオス | いいえ | いいえ | |
| BMC(すべてのファームウェアブランチ) | いいえ | いいえ | |
| シャーシ管理モジュール(CMM) | いいえ | いいえ | |
| SuperCloud Composer (SCC) | いいえ | いいえ | |
| Supermicro マネージャー(SSM) | いいえ | いいえ | |
| Supermicro (SD5) | いいえ | いいえ | |
| Supermicro (SPM) | いいえ | はい | Log4j 2.17.0にアップグレードしてください。 SPMリリースは大至急保留 |
| SMCIPMITool | いいえ | いいえ | |
| IPMICFG | いいえ | いいえ | |
| IPMIView | いいえ | いいえ | |
| SCCアナリティクス | いいえ | いいえ | |
| SCCポッドマネージャ(PodM) | いいえ | いいえ | |
| vCenterプラグイン | いいえ | いいえ | |
| SCOMプラグイン | いいえ | いいえ | |
| Nagiosプラグイン | いいえ | いいえ | |
| スーパー診断オフライン | いいえ | ノー | |
| Supermicro マネージャー(SUM) | いいえ | いいえ | |
| SUMサービス(SUM_SERVER) | いいえ | いいえ | |
| Supermicro サービス(TAS) | いいえ | いいえ |