Supermicro は、最近(2021年12月9日)公開されたオープンソースのApache Javaロギングライブラリ「Log4j 2」(別名「Log4Shell」)に関連するセキュリティ問題( CVE-2021-44228 )を認識しており、業界と協力して、この問題への対応を最優先事項として進めています。CVE -2021-44228の問題に加え、 Supermicro また、 CVE-2021-45046およびCVE-2021-45105のセキュリティ脆弱性にも対処しています。
ほとんどSupermicro これらの3つの脆弱性によって影響を受けるアプリケーションはありません。影響を受けるアプリケーションは1つだけです。 Supermicro Power Manager (SPM) の場合、 CVE-2021-44228 、 CVE-2021-45046 、およびCVE-2021-45105の問題に対処するには、影響を受ける製品 (SPM) の Log4j 2 をバージョン 2.17.0 に更新することをお勧めします。
Log4j 2.17.0 では、メッセージ検索パターンのサポートが削除され、JNDI 機能がデフォルトで無効になっています。また、Log4j 2.17.0 では、設定ファイルのレイアウトパターンにおけるコンテキスト検索でのスタックオーバーフローが修正され、サービス拒否攻撃が防止されます。
Supermicro SPMバージョン1.11.1へのアップデートもリリース予定です。SPM(リモート管理ソフトウェア)については、アップデートをできるだけ早くリリースできるよう、優先度の高い検証テストを実施しています。現在の回避策としては、IT管理者がIPホワイトリストを使用してSPMへのアクセスを制御・制限することです。
Log4j 1.2 の脆弱性を説明する追加の 2 つの CVE、 CVE-2021-4104およびCVE-2019-17571は、 Supermicro 製品。特に、 Supermicro サーバーマネージャー( SSM ) Supermicro スーパードクター( SD5 Log4j 1.2 を使用する SMCIPMITool および vCenter プラグインは影響を受けません。
のSupermicro セキュリティチームが分析しましたSupermicro ファームウェアおよびソフトウェア製品について、Apache Log4j 1.2およびApache Log4j 2のセキュリティ脆弱性の影響を受けるものがあるかどうかを調べました。結果をまとめた表を以下に示します。
Supermicro 引き続き状況を監視いたします。影響を受ける製品が他に判明した場合は、このお知らせを更新いたします。詳細やサポートが必要な場合は、下記までお問い合わせください。 Supermicro テクニカルサポート。
| 関連製品 | Apache「Log4j 1.2」の影響を受けます。 | Apache「Log4j 2」の影響を受けます | 講じるべき緩和策 |
|---|---|---|---|
| BIOS | いいえ | いいえ | |
| BMC(すべてのファームウェアブランチ) | いいえ | いいえ | |
| シャーシ管理モジュール(CMM) | いいえ | いいえ | |
| SuperCloud Composer (SCC) | いいえ | いいえ | |
| Supermicro サーバーマネージャー( SSM ) | いいえ | いいえ | |
| Supermicro スーパードクター( SD5 ) | いいえ | いいえ | |
| Supermicro 電源管理ツール(SPM) | いいえ | はい | Log4j 2.17.0にアップグレードしてください。 SPMリリースは早急に予定されています |
| SMCIPMITool | いいえ | いいえ | |
| IPMICFG | いいえ | いいえ | |
| IPMIView | いいえ | いいえ | |
| SCC 分析 | いいえ | いいえ | |
| SCC ポッドマネージャー(PodM) | いいえ | いいえ | |
| vCenterプラグイン | いいえ | いいえ | |
| SCOMプラグイン | いいえ | いいえ | |
| Nagiosプラグイン | いいえ | いいえ | |
| スーパー診断オフライン | いいえ | いいえ | |
| Supermicro アップデートマネージャー( SUM ) | いいえ | いいえ | |
| SUM サービス ( SUM _サーバ) | いいえ | いいえ | |
| Supermicro シンエージェントサービス( TAS ) | いいえ | いいえ |