服务定位协议 SLP 中的反射式拒绝服务 (DoS) 放大漏洞
漏洞披露:
本次漏洞披露的目的是为了告知公众潜在的漏洞。 Supermicro 在外部发现的产品。
调查结果
服务定位协议(SLP)允许未经验证的远程攻击者注册任意服务。这样,攻击者就可以利用欺骗性 UDP 流量来实施具有显著放大系数的拒绝服务(DoS)攻击。
CVE:
- CVE :CVE-2023-29552
- 严重性:高
受影响的产品:
受影响的产品是Supermicro 运行在刀片式机箱管理模块 (CMM) 上的 BMC 固件
解决方案:
- CMM 上将禁用使用 SLP 的 CMM 邻居功能。
- 如果用户选择启用 CMM 邻居功能,将会发出警告。