Supermicro 已知悉近期揭露的(2021年12月9日)與開源Apache Java日誌庫「Log4j 2」(也稱為「Log4Shell」)相關的安全漏洞( CVE-2021-44228 ),並與業界一道,高度重視並致力於緩解該漏洞帶來的風險。除CVE-2021-44228漏洞外, Supermicro 同時也解決了CVE-2021-45046和CVE-2021-45105安全漏洞。
最多Supermicro 這些應用程式不受這三個漏洞的影響。唯一受影響的應用程式是Supermicro 電源管理器 (SPM)。為修復CVE-2021-44228 、 CVE-2021-45046和CVE-2021-45105問題,建議將受影響產品 (SPM) 中的 Log4j 2 更新至 2.17.0 版本。
Log4j 2.17.0 移除對訊息查詢模式的支援,並在預設情況下停用 JNDI 功能。Log4j 2.17.0 也修正了配置檔佈局模式中 Context Lookups 的堆疊滿溢問題,因此可防止拒絕服務攻擊。
Supermicro 此外,還將發布 SPM 1.11.1 版本的更新。對於 SPM(遠端管理軟體),我們正在優先進行驗證測試,以便盡快發布更新。目前的臨時解決方案是 IT 管理員執行 IP 位址白名單操作,以控制和限制對 SPM 的存取。
另外兩個 CVE 編號CVE-2021-4104和CVE-2019-17571描述了 Log4j 1.2 中的漏洞,但它們並不影響任何特定功能。 Supermicro 產品。特別是, Supermicro 伺服器管理員( SSM ), Supermicro 超級醫生( SD5使用 Log4j 1.2 的 SMCIPMITool 和 vCenter 外掛程式不受影響。
這Supermicro 安全團隊已分析Supermicro 我們對韌體和軟體產品進行了檢測,以了解它們是否受到 Apache Log4j 1.2 和 Apache “Log4j 2” 安全漏洞的影響。下表總結了檢測結果。
Supermicro 我們將繼續密切關注事態發展。如果發現其他產品受到影響,我們將更新此公告。如果您需要更多詳情或協助,請與我們聯絡。 Supermicro 技術支援。
| 產品 | 受 Apache "Log4j 1.2" 影響 | 受 Apache "Log4j 2" 影響 | 要採取的緩解行動 |
|---|---|---|---|
| BIOS | 不 | 不 | |
| BMC (所有韌體分支) | 不 | 不 | |
| 機箱管理模組 (CMM) | 不 | 不 | |
| SuperCloud Composer(SCC) | 不 | 不 | |
| Supermicro 伺服器管理員( SSM ) | 不 | 不 | |
| Supermicro 超級醫生( SD5 ) | 不 | 不 | |
| Supermicro 電源管理器(SPM) | 不 | 是的 | 升級至 Log4j 2.17.0。 SPM 發佈待定 |
| SMCIPMITool | 不 | 不 | |
| IPMICFG | 不 | 不 | |
| IPMIView | 不 | 不 | |
| SCC 分析 | 不 | 不 | |
| SCC Pod Manager (PodM) | 不 | 不 | |
| vCenter 外掛程式 | 不 | 不 | |
| SCOM 外掛程式 | 不 | 不 | |
| Nagios 外掛程式 | 不 | 不 | |
| 超診斷離線版 | 不 | 無 | |
| Supermicro 更新管理器( SUM ) | 不 | 不 | |
| SUM 服務 (SUM_SERVER) | 不 | 不 | |
| Supermicro 瘦代理服務( TAS ) | 不 | 不 |