研究人员Supermicro 虚拟媒体功能中发现漏洞。BMC/IPMI虚拟媒体作为虚拟控制台的功能组件，可让用户将CD/DVD映像挂载至服务器作为虚拟光驱。这些漏洞包括虚拟媒体功能中的明文认证、弱加密及认证绕过问题。经实验室研究人员确认，该漏洞尚未在客户环境中出现。

我们谨向Eclypsium团队致谢，感谢他们向我们指出此问题，并协助验证修复方案。

行业最佳实践是在与互联网隔离的私有网络上运行BMC，这将降低但无法完全消除已识别的风险暴露。

另一种潜在的临时修复方案是通过封堵TCP端口623来禁用虚拟媒体功能，随后再升级至BMC/IPMI固件的最新安全补丁。请遵循以下步骤禁用TCP端口623：

BMC软件的新版本已修复这些漏洞。具体产品详情请参见下文。

资源

• CVE-2019-16649
• CVE-2019-16650