脆弱性の開示
本開示の目的は、外部研究者より報告されたSupermicro を及ぼす可能性のある潜在的な脆弱性についてお知らせすることです。
謝辞
Supermicro 、Supermicro IPMIファームウェアにおける潜在的な脆弱性を発見されたBinarlyリサーチャーの皆様のご尽力に深く感謝Supermicro 。
概要
Supermicro 、3つのセキュリティ上の問題が発見されました。これらの問題は、Supermicro (Web UI)のWebサーバーコンポーネントに影響を及ぼします。
| 課題ID | 重大性 | 問題の種類 | 説明 |
|---|---|---|---|
| 高い | コマンド・インジェクション攻撃 | BMC が SMTP 通知に使用するバックエンド コマンドは、BMC OS コマンドのインジェクションを可能にするサニタイズされていない認証情報を受け入れます。ログインするには、管理者権限を持つ BMC アカウントが必要です。 Supermicro スコア: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) |
| 高い | XSS攻撃 | ポイズン化されたローカルストレージアイテムは、管理者権限でログインしたユーザーアカウントに代わって、ログインしたユーザーアカウントの不正な作成を許可するサニテーションなしで評価されます。 Supermicro スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
| 高い | コマンド・インジェクション攻撃 | Supermicro、SNMP設定ファイルのアップロードおよび適用が可能です。この設定ファイルは、許可されていない動的ライブラリから追加モジュールをロードするために悪用される可能性があります。悪意のある設定は、BMCの再起動後も永続的に保持されます。管理者権限を持つBMCアカウントが必要です。 Supermicro スコア: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H) |
影響を受ける製品
Supermicro 、一部のX11、X12、X13、H11、H12、H13、M11、M12、B11、B12マザーボード(およびCMM)に搭載されております。
修復:
影響Supermicro 、これらの潜在的な脆弱性を軽減するためにはBMCの更新が必要となります。
これらの潜在的な脆弱性を軽減するため、更新されたBMCファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証Supermicro 。解決策につきましては、リリースノートをご確認ください。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例を認識Supermicro 。