漏洞Supermicro BMC IPMI 固件,2024 年 7 月
漏洞披露:
本次披露的目的是为了说明可能影响系统的潜在漏洞Supermicro 由外部研究人员报告的产品。
致谢:
Supermicro 谨此感谢 NVIDIA 攻击性安全研究团队的 Alexander Tereshkin 发现了潜在的漏洞。 Supermicro BMC IPMI固件。
摘要
已发现部分组件存在安全问题。 Supermicro 主板。此问题会影响其 BMC 的 Web 服务器组件。
| CVE ID | 严重性 | 说明 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 批判的 | 这种潜在漏洞Supermicro BMC 可能是由于固件的“GetValue”函数中缺少对输入值的检查而导致的缓冲区溢出造成的。 未经身份验证的用户可以向接口发布特制数据,这将触发堆栈缓冲区溢出,并可能导致在 BMC 上执行任意远程代码。 |
受影响的产品:
Supermicro 选定的 BMC 固件X11 , X12 , H12 ,B12, X13 , H13以及 B13 主板(和 CMM6 模块)。
补救措施:
所有受影响的人Supermicro 主板 SKU 需要进行 BMC 更新以缓解这些潜在漏洞。
已开发出更新的BMC固件,以缓解这些潜在漏洞。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看版本说明以了解解决方案。
为了立即减少攻击面,建议遵循BMC 配置最佳实践指南并配置会话超时。
开发和公告:
Supermicro 目前尚未发现任何恶意利用这些漏洞的案例。