Supermicro BMC Sicherheitsupdates 2024-04

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Im April 2024 wurden von Supermicro mehrere BMC Firmware Updates für X11, X12, X13, H11, H12, H13, M11, M12, B11 und B12 Mainboards zur Behebung von Sicherheitslücken in der BMC Firmware veröffentlicht. Thomas-Krenn empfiehlt generell, Fernwartungszugänge wie IPMI oder Redfish oder SSH nur geschützt hinter Firewalls/VPNs zu betreiben und nicht offen im Internet bereitzustellen - siehe dazu auch IPMI Best Practices.

Hier ein Auszug der tabellarischen Übersicht zu den Sicherheitslücken von Supermicro:[1]

Issue ID Severity Issue Type Description
SMCI ID: SMC-2024010010

CVE ID: CVE-2024-36430

Binarly ID: BRLY-2023-022

High Command Injection Attack Backend command used by the BMC for SMTP notification will accept un-sanitized credentials that allow for BMC OS command injection.

A BMC account with administrator privilege is required to be logged in.

Supermicro CVSSv3 score: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) 

SMCI ID: SMC-2024010011

CVE ID: CVE-2024-36431

Binarly ID: BRLY-2023-023

High XSS attack Poisoned lang local storage item is evaluated without sanitation that allow the unauthorized creation of user accounts

on behalf of the logged in user accounts on behalf of the logged in account with administrator privileges. Supermicro CVSSv3 score: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

SMCI ID: SMC-2024010012

CVE ID: CVE-2023-33413

Binarly ID: BRLY-2023-030

High Command Injection attack Supermicro’s BMC allows an SNMP configuration file to be uploaded and applied.

The configuration file could be used to load additional modules from unauthorized dynamic libraries. The malicious configuration is persistent across BMC reboots. A BMC account with administrator privilege is required. Supermicro CVSSv3 score: 8.3 (AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)

Updates für Produkte von Thomas-Krenn

Updates zum jeweiligen System finden Sie im Downloadbereich von Thomas-Krenn. Die Updates im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.

Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Supermicro beziehen.

Einzelnachweise

  1. Vulnerabilities in Supermicro BMC Firmware, April 2024 (www.supermicro.com, April 2024)

Das könnte Sie auch interessieren

Redfish
Zum Artikel
Sicherheitshinweise zu AMI MegaRAC SPx CVE-2024-54085
Zum Artikel
Sicherheitshinweise zu IPv6 PixieFail
Zum Artikel