شركة انتل بشأن إزالة 22 نقطة ضعف في البرامج الثابتة للوحات الأم للخادم وأنظمة الخادم ووحدات الحوسبة. ثلاث نقاط ضعف، إحداها مُخصصة لمستوى حرج، ( - كفسس 9.6، - كفسس 8.3، - CVSS 4.7) في البرنامج الثابت لوحدة التحكم Emulex Pilot 3 BMC المستخدمة في منتجات Intel. تسمح الثغرات الأمنية بالوصول غير المصادق إلى وحدة التحكم بالإدارة عن بعد (KVM)، وتجاوز المصادقة عند محاكاة أجهزة تخزين USB، والتسبب في تجاوز سعة المخزن المؤقت عن بعد في Linux kernel المستخدم في BMC.
تسمح الثغرة الأمنية CVE-2020-8708 للمهاجم غير المصادق بالوصول إلى مقطع شبكة محلية مشترك مع الخادم الضعيف للوصول إلى بيئة التحكم BMC. ويشار إلى أن تقنية استغلال الثغرة بسيطة للغاية ويمكن الاعتماد عليها، حيث أن المشكلة ناجمة عن خطأ معماري. علاوة على ذلك، وفقا ل بعد أن حدد الباحث الثغرة الأمنية، أصبح العمل مع BMC من خلال استغلال أكثر ملاءمة بكثير من استخدام عميل Java القياسي. ومن بين الأجهزة المتضررة من المشكلة عائلات أنظمة خوادم إنتل R1000WT وR2000WT وR1000SP وLSVRP وLR1304SP وR1000WF وR2000WF واللوحات الأم S2600WT وS2600CW وS2600KP وS2600TP وS1200SP وS2600WF وS2600ST وS. 2600 2600BP، وكذلك الحوسبة وحدات HNS2600KP وHNS2600TP وHNS1.59BP. تم إصلاح الثغرات الأمنية في تحديث البرنامج الثابت XNUMX.
بحسب غير رسمي تمت كتابة البرنامج الثابت لـ BMC Emulex Pilot 3 بواسطة AMI مظهر من مظاهر نقاط الضعف في الأنظمة من الشركات المصنعة الأخرى. المشاكل موجودة في التصحيحات الخارجية لنواة لينكس وعملية التحكم في مساحة المستخدم، والتي وصف الباحث شفرتها بأنها أسوأ كود واجهه على الإطلاق.
تذكر أن BMC عبارة عن وحدة تحكم متخصصة مثبتة في الخوادم التي تحتوي على واجهات وحدة المعالجة المركزية والذاكرة والتخزين والاستطلاع الخاصة بها ، والتي توفر واجهة منخفضة المستوى لمراقبة أجهزة الخادم والتحكم فيها. بمساعدة BMC ، بغض النظر عن نظام التشغيل الذي يعمل على الخادم ، يمكنك مراقبة حالة المستشعرات وإدارة الطاقة والبرامج الثابتة والأقراص وتنظيم التمهيد عن بُعد عبر الشبكة والتأكد من تشغيل وحدة التحكم في الوصول عن بُعد وما إلى ذلك.
المصدر: opennet.ru