Supermicro IPMI 韌體漏洞,2024年7月
漏洞披露:
本公告旨在通報由外部研究人員所揭露、可能影響Supermicro 安全漏洞。
鳴謝:
Supermicro 感謝NVIDIA進攻性安全研究團隊成員Alexander Tereshkin所進行的研究工作,其發現了Supermicro IPMI韌體中潛在的漏洞。
摘要:
在部分Supermicro 發現一項安全問題。此問題影響其 BMC 的網頁伺服器元件。
| CVE ID | 嚴重性 | 描述 |
|---|---|---|
| CVE-2024-36435 SMC-2023110008 | 關鍵 | Supermicro 中的此潛在漏洞可能源自韌體中「GetValue」函數的緩衝區溢位,該問題是由未對輸入值進行檢查所導致。 未經認證的使用者可向介面發送經過特殊設計的資料,此舉將觸發堆疊緩衝區溢位,並可能導致在遠端管理控制器(BMC)上執行任意遠端程式碼。 |
受影響產品:
Supermicro 韌體適用於特定型號的 X11、X12、H12、B12、X13、H13 及 B13 主機板(以及 CMM6 模組)。
修復:
所有受影響的Supermicro 型號皆需進行 BMC 更新,以減輕這些潛在漏洞的風險。
已發布更新的 BMC 固件以緩解這些潛在漏洞。Supermicro 目前Supermicro 受影響產品Supermicro 測試與驗證。請查閱發行說明以獲取解決方案。
為立即降低攻擊面,建議遵循 BMC 配置最佳實踐指南 並設定會話時限。
剝削與公告:
Supermicro 尚未發現任何這些漏洞在實際環境中遭惡意利用的Supermicro 。