OpenSSH "regreSSHion" 漏洞,2024 年 7 月
漏洞披露:
本公告旨在通报由外部研究人员报告的、Supermicro 漏洞。
摘要
在部分Supermicro BMC固件中发现了一个安全漏洞。该安全问题被称为"RegreSSHion",影响OpenSSH中的关键信号处理程序竞争条件。此漏洞可能导致未经身份验证的远程代码执行(RCE),并获得root权限。
CVE:
- CVE-2024-6387
- 严重性:高
受影响的产品:
Supermicro 固件适用于部分H13、X13、H12、M12和X12主板。
补救措施:
所有受影响Supermicro 型号均需更新BMC固件以缓解这些潜在漏洞。
已创建更新的BMC固件以缓解这些潜在漏洞。Supermicro 受影响产品进行测试和验证。请查阅版本说明以获取解决方案。
根据OpenSSH的回应(发布说明),虽然该漏洞已在受控实验环境中成功验证,但利用该漏洞需要在服务器最大吞吐量下持续攻击约6至8小时。特别是对于BMC固件而言,此类攻击方式将导致连接异常,最终使攻击失败。
Supermicro 建议采取适当措施保障设备网络访问安全,作为常规安全预防措施。Supermicro 根据Supermicro 安全操作指南配置环境,确保设备在受保护的IT环境中运行。更多信息请参阅产品安全网页,并遵循产品手册中的建议。
开发和公告:
Supermicro 尚未Supermicro 这些漏洞在实际环境中被恶意利用的情况。