Eclypsium компаниясы
Андан ары талдоо көрсөткөндөй, бул көйгөйлөр Acer, AMAX, Bigtera, Ciara, Penguin Computing жана sysGen сыяктуу компаниялардын серверлеринде колдонулган Gigabyte Enterprise Servers сервердик платформаларында колдонулган BMC контроллерлорунун микропрограммаларына да таасирин тийгизет. Көйгөйлүү BMC контроллерлору үчүнчү тараптын сатуучусу Avocent (азыр Vertivдин бөлүмү) тарабынан иштелип чыккан аялуу MergePoint EMS микропрограммасын колдонушкан.
Биринчи алсыздык жүктөлүп алынган микропрограмма жаңыртууларынын криптографиялык текшерүүнүн жоктугу менен шартталган (бир гана CRC32 текшерүү суммасын текшерүү колдонулат, тескерисинче
Экинчи алсыздык микропрограмманы жаңыртуу кодунда бар жана сизге эң жогорку артыкчылыктар менен BMCде аткарыла турган өз буйруктарыңызды алмаштырууга мүмкүндүк берет. Чабуул кылуу үчүн bmcfwu.cfg конфигурация файлындагы RemoteFirmwareImageFilePath параметринин маанисин өзгөртүү жетиштүү, ал аркылуу жаңыртылган микропрограмманын сүрөтүнө жол аныкталат. Кийинки жаңыртуу учурунда, ал IPMIдеги буйрук менен башталышы мүмкүн, бул параметр BMC тарабынан иштетилет жана /bin/sh үчүн линиянын бир бөлүгү катары popen() чалуусунун бир бөлүгү катары колдонулат. Shell буйругун түзүү сапы snprintf() чалуусунун жардамы менен атайын символдорду туура тазалабастан түзүлгөндүктөн, чабуулчулар аткаруу үчүн алардын кодун алмаштыра алышат. Абалдан пайдалануу үчүн сиз BMC контроллерине IPMI аркылуу буйрук жөнөтүүгө мүмкүндүк берүүчү укуктарга ээ болушуңуз керек (эгерде серверде администратордук укуктарыңыз болсо, кошумча аутентификациясыз IPMI буйругун жөнөтө аласыз).
Gigabyte жана Lenovo көйгөйлөр тууралуу 2018-жылдын июль айында кабарланган жана маалымат ачыкка чыга электе жаңыртууларды чыгарууга жетишкен. Lenovo компаниясы
Үстүбүздөгү жылдын 8-майында Gigabyte ASPEED AST2500 контроллери бар энелик платалар үчүн микропрограммалык жаңыртууларды чыгарды, бирок Lenovo сыяктуу эле, команданы алмаштыруунун кемчилигин гана оңдоду. ASPEED AST2400 негизиндеги аялуу такталар азырынча жаңыртуусуз калууда. Гигабайт да
Эске сала кетсек, BMC – серверлерде орнотулган адистештирилген контроллер, анын өзүнүн CPU, эстутум, сактоо жана сенсор сурамжылоонун интерфейстери бар, ал сервердик жабдууларды көзөмөлдөө жана башкаруу үчүн төмөнкү деңгээлдеги интерфейсти камсыз кылат. BMCди колдонуу менен, серверде иштеген операциялык системага карабастан, сенсорлордун абалын көзөмөлдөй аласыз, кубаттуулукту, микропрограмманы жана дисктерди башкара аласыз, тармак аркылуу алыстан жүктөөнү уюштура аласыз, алыстан кирүү консолунун иштешин камсыздай аласыз ж.б.
Source: opennet.ru