Intel серверлік аналық платалардың, серверлік жүйелердің және есептеу модульдерінің микробағдарламасындағы 22 осалдықты жою үшін. Үш осалдық, олардың біріне критикалық деңгей тағайындалды, ( - CVSS 9.6, - CVSS 8.3, — CVSS 4.7) Intel өнімдерінде қолданылатын Emulex Pilot 3 BMC контроллерінің микробағдарламасында. Осалдықтар қашықтан басқару консоліне (KVM) аутентификацияланбаған кіруге, USB сақтау құрылғыларын эмуляциялау кезінде аутентификацияны айналып өтуге және BMC-де қолданылатын ядрода қашықтағы буфердің толып кетуіне мүмкіндік береді. Linux.
CVE-2020-8708 осалдығы аутентификацияланбаған шабуылдаушыға BMC басқару ортасына қол жеткізу үшін осал сервермен ортақ жергілікті желі сегментіне рұқсат береді. Бұл осалдықты пайдалану әдістемесі өте қарапайым және сенімді екені атап өтіледі, себебі мәселе сәулеттік ақаудан туындаған. Оның үстіне, Осалдықты анықтаған зерттеуші BMC-мен эксплойтті пайдалану кірістірілген Java клиентін пайдаланудан әлдеқайда ыңғайлы екенін анықтады. Зардап шеккен жабдыққа Intel R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF және R2000WF сервер жүйесінің отбасылары кіреді; S2600WT, S2600CW, S2600KP, S2600TP, S1200SP, S2600WF, S2600ST және S2600BP аналық платалары; және HNS2600KP, HNS2600TP және HNS2600BP есептеу модульдері. Осалдықтар микробағдарламаның 1.59 жаңартуында түзетілді.
Бейресми дереккөздерге сүйенсек BMC Emulex Pilot 3 микробағдарламасын AMI жазған, сондықтан Осалдық басқа өндірушілердің жүйелерінде де байқалады. Мәселелер сыртқы ядро патчтарында бар. Linux және кодын мәселені өзі кездестірген ең нашар код деп анықтаған зерттеуші сипаттайтын пайдаланушы кеңістігін басқару процесі.
Еске салайық, BMC серверлерде орнатылған мамандандырылған контроллер болып табылады, оның өз CPU, жады, сақтау және сенсорлық сұрау интерфейстері бар, ол серверлік жабдықты бақылау және басқару үшін төмен деңгейлі интерфейсті қамтамасыз етеді. BMC көмегімен серверде жұмыс істейтін операциялық жүйеге қарамастан, сенсорлардың күйін бақылауға, қуатты, микробағдарламаны және дискілерді басқаруға, желі арқылы қашықтан жүктеуді ұйымдастыруға, қашықтан қол жеткізу консолінің жұмысын қамтамасыз етуге және т.б.
Ақпарат көзі: opennet.ru
