Supermicro IPMI 韌體漏洞,代號「Terrapin」,2024年10月
漏洞披露:
本公告旨在通報由外部研究人員所揭露、可能影響Supermicro 安全漏洞。
摘要:
部分Supermicro 發現存在安全問題。
| CVE ID | 嚴重性 | 描述 |
|---|---|---|
| CVE-2023-48795 | 中等 (5.9) | Terrapin攻擊技術可能導致雙方透過SSH使用安全性較低的加密演算法進行通訊,例如網站(https://terrapin-attack.com/)提及的ChaCha20-Poly1305或CBC模式加密演算法。 |
受影響產品:
Supermicro 韌體適用於特定型號的X11、X12、H12、M12、X13、H13及A3主機板(以及CMM6模組)。
修復:
所有受影響的Supermicro 型號皆需進行 BMC 更新,以減輕這些潛在漏洞的風險。
已發布新版 BMC 韌體以緩解這些潛在漏洞。請參閱發行說明以獲取解決方案。
剝削與公告:
Supermicro 尚未發現任何這些漏洞在實際環境中遭惡意利用的Supermicro 。