Hui Eclypsium
Ua hōʻike hou ʻia ka hōʻike ʻana e pili ana kēia mau pilikia i ka firmware o nā mea hoʻokele BMC i hoʻohana ʻia ma nā kikowaena kikowaena Gigabyte Enterprise Servers, i hoʻohana pū ʻia i nā kikowaena mai nā hui e like me Acer, AMAX, Bigtera, Ciara, Penguin Computing a me sysGen. Ua hoʻohana nā mea hoʻoponopono BMC pilikia i ka paʻakiki ʻo MergePoint EMS firmware i hoʻomohala ʻia e ka mea kūʻai aku ʻaoʻao ʻekolu ʻo Avocent (i kēia manawa he mahele o Vertiv).
ʻO ka nāwaliwali mua ma muli o ka nele o ka hōʻoia cryptographic o nā hoʻoiho firmware i hoʻoiho ʻia (ʻo ka CRC32 checksum verification wale nō i hoʻohana ʻia, kū'ē.
Aia ka lua o ka nāwaliwali i ka code update firmware a hiki iā ʻoe ke hoʻololi i kāu mau kauoha ponoʻī, e hoʻokō ʻia i ka BMC me ka kiʻekiʻe o nā pono. No ka hoʻouka ʻana, ua lawa ia e hoʻololi i ka waiwai o ka ʻāpana RemoteFirmwareImageFilePath i ka faila hoʻonohonoho bmcfwu.cfg, kahi e hoʻoholo ai ke ala i ke kiʻi o ka firmware hou. I ka wā e hiki mai ana, hiki ke hoʻomaka ʻia e kahi kauoha ma IPMI, e hana ʻia kēia ʻāpana e ka BMC a hoʻohana ʻia ma ke ʻano o ka popen() kelepona ma ke ʻano o ka laina no /bin/sh. No ka mea, ua hana ʻia ka laina no ka hoʻokumu ʻana i ke kauoha shell me ka hoʻohana ʻana i ka snprintf() kelepona me ka hoʻomaʻemaʻe pono ʻole o nā kiʻi kūikawā, hiki i nā mea hoʻouka ke hoʻololi i kā lākou code no ka hoʻokō. No ka hoʻohana ʻana i ka nāwaliwali, pono ʻoe i nā kuleana e ʻae iā ʻoe e hoʻouna i kahi kauoha i ka mea hoʻokele BMC ma o IPMI (inā loaʻa iā ʻoe nā kuleana luna ma ka kikowaena, hiki iā ʻoe ke hoʻouna i kahi kauoha IPMI me ka ʻole o ka hōʻoia hou).
Ua hoʻolaha ʻia ʻo Gigabyte a me Lenovo i nā pilikia i Iulai 2018 a ua hoʻokō ʻia e hoʻokuʻu i nā mea hou ma mua o ka hoʻolaha ʻia ʻana o ka ʻike. hui Lenovo
Ma ka lā 8 o Mei o kēia makahiki, ua hoʻokuʻu ʻo Gigabyte i nā mea hou firmware no nā motherboards me ka mea hoʻokele ASPEED AST2500, akā e like me Lenovo, hoʻopaʻa wale ia i ka nāwaliwali o ke kauoha. Noho ʻia nā papa vulnerable e pili ana i ka ASPEED AST2400 me ka ʻole o nā mea hou i kēia manawa. ʻO Gigabyte kekahi
E hoʻomanaʻo kākou he mea hoʻoponopono kūikawā ʻo BMC i hoʻokomo ʻia i loko o nā kikowaena, nona kāna CPU ponoʻī, hoʻomanaʻo, mālama ʻana a me nā mea koho koho sensor, e hāʻawi ana i kahi haʻahaʻa haʻahaʻa no ka nānā ʻana a me ka mālama ʻana i nā lako kikowaena. Ke hoʻohana nei i ka BMC, me ka nānā ʻole i ka ʻōnaehana hana e holo ana ma ka server, hiki iā ʻoe ke nānā i ke kūlana o nā sensor, hoʻokele i ka mana, firmware a me nā disks, hoʻonohonoho i ka booting mamao ma luna o ka pūnaewele, e hōʻoia i ka hana o kahi console access remote, etc.
Source: opennet.ru