Supermicro IPMI固件漏洞,2024年7月
漏洞披露:
本公告旨在通报由外部研究人员报告的、Supermicro 漏洞。
致谢:
Supermicro 感谢NVIDIA进攻性安全研究团队成员Alexander Tereshkin发现Supermicro IPMI固件中的潜在漏洞。
摘要
在部分Supermicro 中发现了一个安全问题。该问题影响其BMC的Web服务器组件。
| CVE ID | 严重性 | 说明 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 关键的 | Supermicro 这一潜在漏洞可能源于固件中“GetValue”函数的缓冲区溢出,该漏洞是由未对输入值进行检查所导致的。 未经身份验证的用户可向该接口发送精心构造的数据,这将触发堆栈缓冲区溢出,并可能导致在BMC上执行任意远程代码。 |
受影响的产品:
Supermicro 固件适用于特定型号的X11、X12、H12、B12、X13、H13和B13主板(以及CMM6模块)。
补救措施:
所有受影响Supermicro 型号均需更新BMC固件以缓解这些潜在漏洞。
已创建更新的BMC固件以缓解这些潜在漏洞。Supermicro 测试和验证受影响的产品。请查阅发布说明以获取解决方案。
为立即降低攻击面,建议遵循 BMC配置最佳实践指南 并配置会话超时。
开发和公告:
Supermicro 尚未Supermicro 这些漏洞在实际环境中被恶意利用的情况。