脆弱性の開示
本開示の目的は、外部研究者より報告されたSupermicro を及ぼす可能性のある潜在的な脆弱性についてお知らせすることです。
概要
Supermicro 、セキュリティ上の脆弱性が発見されました。この「RegreSSHion」と呼ばれるセキュリティ問題は、OpenSSHの重要なシグナルハンドラの競合状態に影響を及ぼします。この脆弱性により、認証されていない状態でのリモートコード実行(RCE)が、root権限で発生する可能性があります。
CVE:
- 6387
- 深刻度:高
影響を受ける製品
Supermicro ファームウェアは、一部のH13、X13、H12、M12、およびX12マザーボードに搭載されております。
修復:
影響を受けるSupermicro 、これらの潜在的な脆弱性を軽減するためにはBMCファームウェアの更新が必要となります。
これらの潜在的な脆弱性を軽減するため、更新されたBMCファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証Supermicro 。解決策につきましては、リリースノートをご確認ください。
OpenSSH の回答(リリースノート)によると、この脆弱性は制御された実験環境でテストに成功し たものの、この脆弱性を悪用するためには、サーバーの最大スループットで連続的に攻撃を試み、 約 6~8 時間を要したとのことです。特に、一般的な BMC ファームウェアの場合、このような攻撃方法は、接続異常を引き起こし、最終的に 攻撃の失敗につながります。
Supermicro 、一般的なセキュリティ対策として、デバイスへのネットワークアクセスを保護するための適切な措置を講じられるようSupermicro お勧めいたします。Supermicro に基づき環境を設定し、デバイスを保護されたIT環境で運用されることをSupermicro 。詳細につきましては製品セキュリティウェブページをご参照いただき、製品マニュアルに記載の推奨事項にも従いますようお願い申し上げます。
搾取と公表:
Supermicro 、これらの脆弱性が実際に悪用された事例を認識Supermicro 。