ГлавнаяБаза уязвимостей БДУ → BDU:2023-00780
10критическая

BDU:2023-00780 (CVE-2021-39296)

Уязвимость интерфейса netipmid (IPMI lan+) встраиваемой операционной системы OpenBMC, связанная с ошибками при проведении процедуры аутентификации, позволяющая нарушителю обойти процедуру аутентификации и получить полный контроль над системой
Опубликовано: 2023-02-20
Описание

Уязвимость интерфейса netipmid (IPMI lan+) встраиваемой операционной системы OpenBMC связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и получить полный контроль над системой

Затрагиваемое ПО и версии
Intel Xeon E SeriesIntel Xeon Scalable ProcessorIntel Xeon Processor W 31003rd Gen Intel Xeon Scalable processor familyIntel C620A seriesIntel C620 seriesOpenBMC (до 2.9)Intel Xeon W 3200Intel C250 seriesIntel C740
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- применение систем обнаружения и предотвращения вторжений для ограничения возможностей получения нарушителем удаленного доступа;
- минимизация пользовательских привилегий;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей.

Использование рекомендаций производителя:

Для программного обеспечения BMC:
https://github.com/openbmc/openbmc

Для программных продуктов Intel:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00737.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-39296https://github.com/google/security-research/security/advisories/GHSA-gg9x-v835-m48qhttps://github.com/openbmc/openbmchttps://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00737.html
Проверьте безопасность своего сайта и почты → Полная проверка домена