Supermicro 近期(2021年12月9日)披露的開源 Apache Java 記錄庫「Log4j 2」相關安全漏洞,該漏洞亦被稱為「Log4Shell」(CVE-2021-44228),並將與業界攜手以最高優先級進行風險緩解。 除CVE-2021-44228漏洞外,Supermicro 亦Supermicro 處理CVE-2021-45046與CVE-2021-45105兩項安全漏洞。
大多數Supermicro 不受這三個漏洞影響。 唯一受影響的應用程式為Supermicro Manager (SPM)。為修復CVE-2021-44228、CVE-2021-45046 及CVE-2021-45105漏洞,建議將受影響產品(SPM)中的 Log4j 2 更新至 2.17.0 版本。
Log4j 2.17.0 移除對訊息查詢模式的支援,並在預設情況下停用 JNDI 功能。Log4j 2.17.0 也修正了配置檔佈局模式中 Context Lookups 的堆疊滿溢問題,因此可防止拒絕服務攻擊。
Supermicro SPM 版本 1.11.1 的更新。針對 SPM(遠端管理軟體),目前正以高優先級進行驗證測試,以盡快發布此更新。當前的解決方案是請 IT 管理員執行 IP 白名單設定,藉此控制並限制對 SPM 的存取權限。
另外兩個描述 Log4j 1.2 漏洞的 CVE 編號CVE-2021-4104與CVE-2019-17571,均不會影響任何Supermicro 。特別是使用 Log4j 1.2 的Supermicro Manager (SSM)、Supermicro (SD5)、SMCIPMITool 以及 vCenter 插件皆不受影響。
Supermicro Supermicro 產品,以確認其中是否存在受Apache Log4j 1.2及Apache「Log4j 2」安全漏洞影響的產品。以下表格彙整分析結果:
Supermicro 監控此情況。若發現其他產品受到影響,本公告將進行更新。如需更多詳細資訊或協助,請聯繫Supermicro 。
| 產品 | 受 Apache "Log4j 1.2" 影響 | 受 Apache "Log4j 2" 影響 | 要採取的緩解行動 |
|---|---|---|---|
| 基本輸入輸出系統 | 不 | 不 | |
| BMC (所有韌體分支) | 不 | 不 | |
| 機箱管理模組 (CMM) | 不 | 不 | |
| SuperCloud Composer(SCC) | 不 | 不 | |
| Supermicro 管理程式 (SSM) | 不 | 不 | |
| Supermicro (SD5) | 不 | 不 | |
| Supermicro 管理器 (SPM) | 不 | 是的 | 升級至 Log4j 2.17.0。 SPM 發佈待定 |
| SMCIPMI工具 | 不 | 不 | |
| IPMICFG | 不 | 不 | |
| IPMIView | 不 | 不 | |
| SCC 分析 | 不 | 不 | |
| SCC Pod Manager (PodM) | 不 | 不 | |
| vCenter 外掛程式 | 不 | 不 | |
| SCOM 外掛程式 | 不 | 不 | |
| Nagios 外掛程式 | 不 | 不 | |
| 超級診斷離線模式 | 不 | 無 | |
| Supermicro 管理程式 (SUM) | 不 | 不 | |
| SUM 服務 (SUM_SERVER) | 不 | 不 | |
| Supermicro 服務 (TAS) | 不 | 不 |