脆弱性の開示
本開示の目的は、外部研究者より報告されたSupermicro を及ぼす可能性のある潜在的な脆弱性についてお知らせすることです。
謝辞
Supermicro 、Supermicro IPMI ファームウェアの潜在的な脆弱性を発見した NVIDIA Offensive Security Research Team のアレクサンダー・テレシキン氏の功績を称えたいSupermicro
概要
Supermicro 、セキュリティ上の問題が発見されました。この問題は、同社のBMC(ベース管理コントローラ)のウェブサーバーコンポーネントに影響を及ぼします。
| CVE ID | 重大性 | 説明 |
|---|---|---|
| 36435 SMC-2023110008 | クリティカル | Supermicro この潜在的な脆弱性は、ファームウェアの「GetValue」関数において入力値のチェックが不十分なために発生するバッファオーバーフローに起因する可能性があります。 認証されていないユーザーが特別に細工したデータをインターフェイスに投稿することで、スタックバッファオーバーフローが発生し、BMC上で任意のリモートコードが実行される可能性があります。 |
影響を受ける製品
Supermicro 、一部のX11、X12、H12、B12、X13、H13、B13マザーボード(およびCMM6モジュール)に搭載されております。
修復:
影響Supermicro 、これらの潜在的な脆弱性を軽減するためにはBMCの更新が必要となります。
これらの潜在的な脆弱性を軽減するため、更新されたBMCファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証Supermicro 。解決策につきましては、リリースノートをご確認ください。
攻撃対象領域を減らすための当面の回避策として、以下の手順に従ってください。 BMC 構成ベストプラクティスガイドに従って、セッション タイムアウトを構成することをお勧めします。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例を認識Supermicro 。