因堆疊溢位導致的變數修改
漏洞披露:
本次漏洞披露旨在通報由外部研究人員回報、可能影響Supermicro 潛在安全漏洞。
鳴謝:
Supermicro 感謝中國武漢大學研究人員所做的工作,該研究人員發現了X12DPG-QR主機板中潛在的漏洞。
研究結果:
BIOS 韌體中可能發生的堆疊溢位事件,可能使攻擊者透過操縱變數來利用此漏洞,進而潛在劫持控制流。此情況將使具備核心層級權限的攻擊者得以提升其權限,最終可能導致任意程式碼執行。
CVE:
- CVE-2023-34853
- 嚴重性:高
受影響產品:
Supermicro 於 X11、X12、X13 及 H11、H12、H13 主機板中。
解決方案:
所有受影響的Supermicro 型號皆需更新 BIOS 以減輕此潛在漏洞的風險。
已開發新版 BIOS 韌體以減輕此潛在漏洞風險。Supermicro 目前Supermicro 受影響產品Supermicro 測試與驗證。請參閱發行說明以獲取解決方案。