Intel оның серверлік аналық платаларының, серверлік жүйелердің және есептеу модульдерінің микробағдарламасындағы 22 осалдықты жою туралы. Үш осалдық, олардың біреуі сыни деңгейге тағайындалған, ( - CVSS 9.6, - CVSS 8.3, - CVSS 4.7) Intel өнімдерінде қолданылатын Emulex Pilot 3 BMC контроллерінің микробағдарламасында. Осалдықтар қашықтан басқару консоліне (KVM) аутентификацияланбаған кіруге, USB сақтау құрылғыларын эмуляциялау кезінде аутентификацияны айналып өтуге мүмкіндік береді және BMC жүйесінде пайдаланылатын Linux ядросында қашықтағы буфердің толып кетуіне себеп болады.
CVE-2020-8708 осалдығы аутентификацияланбаған шабуылдаушыға BMC басқару ортасына қол жеткізу үшін осал сервері бар жалпы жергілікті желі сегментіне рұқсат береді. Мәселе архитектуралық қатеден туындағандықтан, осалдықты пайдалану әдісі өте қарапайым және сенімді екені атап өтіледі. Оның үстіне, сәйкес Зерттеуші осалдықты анықтағаннан кейін, BMC-мен эксплойт арқылы жұмыс істеу стандартты Java клиентін пайдаланудан әлдеқайда ыңғайлы. Мәселе зардап шеккен жабдықтың арасында Intel серверлік жүйелерінің отбасылары R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF және R2000WF, S2600WT, S2600CW, S2600KP, S2600TP, S1200, S2600 аналық платалары бар. және S2600 2600BP, сондай-ақ есептеуіш модульдері HNS2600KP, HNS2600TP және HNS2600BP . Осалдықтар микробағдарламаның 1.59 жаңартуында түзетілді.
Бейресми мәлімет бойынша BMC Emulex Pilot 3 микробағдарламасын AMI жазған, сондықтан басқа өндірушілердің жүйелеріндегі осалдықтардың көрінісі. Мәселелер Linux ядросының сыртқы патчтарында және пайдаланушы-кеңістікті басқару процесінде бар, оның коды мәселені ол кездескен ең нашар код ретінде анықтаған зерттеушімен сипатталады.
Еске салайық, BMC серверлерде орнатылған мамандандырылған контроллер болып табылады, оның өз CPU, жады, сақтау және сенсорлық сұрау интерфейстері бар, ол серверлік жабдықты бақылау және басқару үшін төмен деңгейлі интерфейсті қамтамасыз етеді. BMC көмегімен серверде жұмыс істейтін операциялық жүйеге қарамастан, сенсорлардың күйін бақылауға, қуатты, микробағдарламаны және дискілерді басқаруға, желі арқылы қашықтан жүктеуді ұйымдастыруға, қашықтан қол жеткізу консолінің жұмысын қамтамасыз етуге және т.б.
Ақпарат көзі: opennet.ru