Supermicro 近期披露(2021年12月9日)的开源Apache Java日志库"Log4j 2"相关安全漏洞(亦称"Log4Shell",CVE-2021-44228),并正与业界携手以最高优先级采取缓解措施。 除CVE-2021-44228漏洞外,Supermicro 同时Supermicro 处理CVE-2021-45046和CVE-2021-45105两项安全漏洞。
大多数Supermicro 不受这三个漏洞的影响。 唯一受影响的应用程序Supermicro 管理器(SPM)。为修复CVE-2021-44228、CVE-2021-45046和CVE-2021-45105漏洞,建议将受影响产品(SPM)中的Log4j 2更新至2.17.0版本。
Log4j 2.17.0 移除了对消息查找模式的支持,并在默认情况下禁用了 JNDI 功能。Log4j 2.17.0 还修复了配置文件布局模式中上下文查找的堆栈溢出,从而防止了拒绝服务攻击。
Supermicro 发布SPM 1.11.1版本的更新。针对SPM(远程管理软件),目前正以高优先级进行验证测试,以尽快发布更新。当前的临时解决方案是让IT管理员执行IP白名单策略,以控制和限制对SPM的访问权限。
另外两个描述Log4j 1.2漏洞的CVE编号CVE-2021-4104和 CVE-2019-17571均不影响任何Supermicro 。特别是,使用Log4j 1.2的Supermicro Manager (SSM)、Supermicro (SD5)、SMCIPMITool以及vCenter插件均不受影响。
Supermicro Supermicro 进行分析,以确认其中是否存在受Apache Log4j 1.2及Apache "Log4j 2"安全漏洞影响的产品。下表汇总了分析结果。
Supermicro 关注事态发展。若发现其他产品受到影响,本公告将及时更新。如需更多详情或协助,请Supermicro 支持Supermicro 。
| 产品 | 受 Apache "Log4j 1.2" 影响 | 受 Apache "Log4j 2" 影响 | 应采取的缓解行动 |
|---|---|---|---|
| BIOS | 没有 | 没有 | |
| BMC(所有固件分支) | 没有 | 没有 | |
| 机箱管理模块 (CMM) | 没有 | 没有 | |
| SuperCloud Composer (SCC) | 没有 | 没有 | |
| Supermicro 管理器(SSM) | 没有 | 没有 | |
| Supermicro (SD5) | 没有 | 没有 | |
| Supermicro 管理器(SPM) | 没有 | 是 | 升级到 Log4j 2.17.0。 SPM 待尽快发布 |
| SMCIPMITool | 没有 | 没有 | |
| IPMICFG | 没有 | 没有 | |
| IPMIView | 没有 | 没有 | |
| SCC 分析 | 没有 | 没有 | |
| SCC Pod 管理器(PodM) | 没有 | 没有 | |
| vCenter 插件 | 没有 | 没有 | |
| SCOM 插件 | 没有 | 没有 | |
| Nagios 插件 | 没有 | 没有 | |
| 超级诊断脱机 | 没有 | 没有 | |
| Supermicro 管理器(SUM) | 没有 | 没有 | |
| SUM 服务 (SUM_SERVER) | 没有 | 没有 | |
| Supermicro 服务 (TAS) | 没有 | 没有 |