Intel juu ya kuondoa udhaifu 22 katika mfumo dhibiti wa bodi zake za mama, mifumo ya seva na moduli za kompyuta. Udhaifu tatu, moja ambayo imepewa kiwango muhimu, ( - CVSS 9.6, - CVSS 8.3, - CVSS 4.7) katika firmware ya kidhibiti cha Emulex Pilot 3 BMC kinachotumika katika bidhaa za Intel. Athari za kiusalama huruhusu ufikiaji ambao haujaidhinishwa wa dashibodi ya udhibiti wa mbali (KVM), uthibitishaji wa kukwepa wakati wa kuiga vifaa vya hifadhi ya USB, na kusababisha kufurika kwa akiba ya mbali katika kerneli ya Linux inayotumiwa katika BMC.
Athari za CVE-2020-8708 huruhusu mvamizi ambaye hajaidhinishwa na ufikiaji wa sehemu ya kawaida ya mtandao wa ndani na seva iliyo hatarini kupata ufikiaji wa mazingira ya udhibiti wa BMC. Inabainisha kuwa mbinu ya kutumia mazingira magumu ni rahisi sana na ya kuaminika, kwani tatizo linasababishwa na kosa la usanifu. Aidha, kwa mujibu wa Baada ya mtafiti kubaini udhaifu huo, kufanya kazi na BMC kupitia unyonyaji ni rahisi zaidi kuliko kutumia mteja wa kawaida wa Java. Miongoni mwa vifaa vilivyoathiriwa na tatizo hilo ni pamoja na familia za Intel R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF na R2000WF server systems, S2600WT, S2600CW, S2600KP, S2600SP1200S2600W, S2600SP2600, S2600SP2600S, S2600SP1.59S, SXNUMXSPXNUMXS, SXNUMXTPXNUMXS, SXNUMXTP, SXNUMXTP, SXNUMXTP, SXNUMXTP, SXNUMXTP, SXNUMXTP, SXNUMXTP mifumo ya mifumo ya mifumo ya seva na SXNUMXSPXNUMXST. XNUMXBP, na pia moduli za kompyuta HNSXNUMXKP, HNSXNUMXTP na HNSXNUMXBP . Athari za kiusalama zilirekebishwa katika sasisho la programu XNUMX.
Kulingana na isiyo rasmi Firmware ya BMC Emulex Pilot 3 iliandikwa na AMI, kwa hivyo udhihirisho wa udhaifu kwenye mifumo kutoka kwa wazalishaji wengine. Shida zipo kwenye viraka vya nje kwenye kinu cha Linux na mchakato wa udhibiti wa nafasi ya mtumiaji, msimbo ambao unaonyeshwa na mtafiti ambaye aligundua shida kama nambari mbaya zaidi ambayo amewahi kukutana nayo.
Hebu tukumbuke kwamba BMC ni kidhibiti maalumu kilichowekwa kwenye seva, ambacho kina CPU yake, kumbukumbu, hifadhi na miingiliano ya upigaji kura ya sensor, ambayo hutoa kiolesura cha kiwango cha chini cha ufuatiliaji na udhibiti wa vifaa vya seva. Kutumia BMC, bila kujali mfumo wa uendeshaji unaoendesha kwenye seva, unaweza kufuatilia hali ya sensorer, kudhibiti nguvu, firmware na disks, kuandaa uanzishaji wa mbali kwenye mtandao, kuhakikisha uendeshaji wa console ya upatikanaji wa kijijini, nk.
Chanzo: opennet.ru