Supermicro 已知悉近期披露的(2021年12月9日)与开源Apache Java日志库“Log4j 2”(也称为“Log4Shell”)相关的安全漏洞( CVE-2021-44228 ),并与业界一道,高度重视并致力于缓解该漏洞带来的风险。除CVE-2021-44228漏洞外, Supermicro 同时还解决了CVE-2021-45046和CVE-2021-45105安全漏洞。
最多Supermicro 这些应用程序不受这三个漏洞的影响。唯一受影响的应用程序是Supermicro 电源管理器 (SPM)。为修复CVE-2021-44228 、 CVE-2021-45046和CVE-2021-45105问题,建议将受影响产品 (SPM) 中的 Log4j 2 更新到 2.17.0 版本。
Log4j 2.17.0 移除了对消息查找模式的支持,并在默认情况下禁用了 JNDI 功能。Log4j 2.17.0 还修复了配置文件布局模式中上下文查找的堆栈溢出,从而防止了拒绝服务攻击。
Supermicro 此外,还将发布 SPM 1.11.1 版本的更新。对于 SPM(远程管理软件),我们正在优先进行验证测试,以便尽快发布更新。目前的临时解决方案是 IT 管理员执行 IP 地址白名单操作,以控制和限制对 SPM 的访问。
另外两个 CVE 编号CVE-2021-4104和CVE-2019-17571描述了 Log4j 1.2 中的漏洞,但它们并不影响任何特定功能。 Supermicro 产品。特别是, Supermicro 服务器管理器( SSM ), Supermicro 超级医生( SD5使用 Log4j 1.2 的 SMCIPMITool 和 vCenter 插件不受影响。
这Supermicro 安全团队已分析Supermicro 我们对固件和软件产品进行了检测,以了解它们是否受到 Apache Log4j 1.2 和 Apache “Log4j 2” 安全漏洞的影响。下表总结了检测结果。
Supermicro 我们将继续密切关注事态发展。如果发现其他产品受到影响,我们将更新此公告。如果您需要更多详情或帮助,请联系我们。 Supermicro 技术支援。
| 产品 | 受 Apache "Log4j 1.2" 影响 | 受 Apache "Log4j 2" 影响 | 应采取的缓解行动 |
|---|---|---|---|
| BIOS | 没有 | 没有 | |
| BMC(所有固件分支) | 没有 | 没有 | |
| 机箱管理模块 (CMM) | 没有 | 没有 | |
| SuperCloud Composer (SCC) | 没有 | 没有 | |
| Supermicro 服务器管理器( SSM ) | 没有 | 没有 | |
| Supermicro 超级医生( SD5 ) | 没有 | 没有 | |
| Supermicro 电源管理器(SPM) | 没有 | 是 | 升级到 Log4j 2.17.0。 SPM 待尽快发布 |
| SMCIPMITool | 没有 | 没有 | |
| IPMICFG | 没有 | 没有 | |
| IPMIView | 没有 | 没有 | |
| SCC 分析 | 没有 | 没有 | |
| SCC Pod 管理器(PodM) | 没有 | 没有 | |
| vCenter 插件 | 没有 | 没有 | |
| SCOM 插件 | 没有 | 没有 | |
| Nagios 插件 | 没有 | 没有 | |
| 超级诊断脱机 | 没有 | 没有 | |
| Supermicro 更新管理器( SUM ) | 没有 | 没有 | |
| SUM 服务 (SUM_SERVER) | 没有 | 没有 | |
| Supermicro 瘦代理服务( TAS ) | 没有 | 没有 |