எக்லிப்சியம் நிறுவனம் லெனோவா திங்க்சர்வர் சர்வர்களில் வழங்கப்பட்ட பிஎம்சி கன்ட்ரோலரின் ஃபார்ம்வேரில் உள்ள இரண்டு பாதிப்புகள், உள்ளூர் பயனரை பிஎம்சி சிப் பக்கத்தில் ஃபார்ம்வேரை மாற்ற அல்லது தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கிறது.
மேலும் பகுப்பாய்வில், இந்த சிக்கல்கள் ஜிகாபைட் எண்டர்பிரைஸ் சர்வர்ஸ் சர்வர் பிளாட்ஃபார்ம்களில் பயன்படுத்தப்படும் பிஎம்சி கன்ட்ரோலர்களின் ஃபார்ம்வேரையும் பாதிக்கின்றன, அவை ஏசர், ஏமாக்ஸ், பிக்டெரா, சியாரா, பெங்குயின் கம்ப்யூட்டிங் மற்றும் சிஸ்ஜென் போன்ற நிறுவனங்களின் சேவையகங்களிலும் பயன்படுத்தப்படுகின்றன. மூன்றாம் தரப்பு விற்பனையாளரான அவோசென்ட் (தற்போது வெர்டிவின் ஒரு பிரிவு) உருவாக்கிய, பாதிக்கப்படக்கூடிய MergePoint EMS ஃபார்ம்வேரைப் பிரச்சனைக்குரிய BMC கன்ட்ரோலர்கள் பயன்படுத்துகின்றன.
பதிவிறக்கம் செய்யப்பட்ட ஃபார்ம்வேர் புதுப்பிப்புகளின் கிரிப்டோகிராஃபிக் சரிபார்ப்பு இல்லாததால் முதல் பாதிப்பு ஏற்படுகிறது (CRC32 செக்சம் சரிபார்ப்பு மட்டுமே பயன்படுத்தப்படுகிறது. என்ஐஎஸ்டி டிஜிட்டல் கையொப்பங்களைப் பயன்படுத்துகிறது), இது பிஎம்சி ஃபார்ம்வேரை ஏமாற்ற கணினிக்கான உள்ளூர் அணுகலுடன் தாக்குபவர் அனுமதிக்கிறது. எடுத்துக்காட்டாக, இயங்குதளத்தை மீண்டும் நிறுவிய பிறகும் செயலில் இருக்கும் ரூட்கிட்டை ஆழமாக ஒருங்கிணைத்து, மேலும் ஃபார்ம்வேர் புதுப்பிப்புகளைத் தடுக்கும் சிக்கலைப் பயன்படுத்தலாம்.
இரண்டாவது பாதிப்பு ஃபார்ம்வேர் புதுப்பிப்புக் குறியீட்டில் உள்ளது மற்றும் உங்கள் சொந்த கட்டளைகளை மாற்றுவதற்கு உங்களை அனுமதிக்கிறது, இது BMC இல் அதிக அளவிலான சலுகைகளுடன் செயல்படுத்தப்படும். தாக்குவதற்கு, bmcfwu.cfg உள்ளமைவு கோப்பில் உள்ள RemoteFirmwareImageFilePath அளவுருவின் மதிப்பை மாற்றினால் போதும், இதன் மூலம் புதுப்பிக்கப்பட்ட ஃபார்ம்வேரின் படத்திற்கான பாதை தீர்மானிக்கப்படுகிறது. அடுத்த புதுப்பிப்பின் போது, IPMI இல் ஒரு கட்டளை மூலம் தொடங்க முடியும், இந்த அளவுரு BMC ஆல் செயலாக்கப்படும் மற்றும் /bin/sh க்கான வரியின் ஒரு பகுதியாக popen() அழைப்பின் ஒரு பகுதியாகப் பயன்படுத்தப்படும். ஷெல் கட்டளையை உருவாக்குவதற்கான வரியானது சிறப்பு எழுத்துகளை சரியாக சுத்தம் செய்யாமல் snprintf() அழைப்பைப் பயன்படுத்தி உருவாக்கப்படுவதால், தாக்குபவர்கள் தங்கள் குறியீட்டை செயல்படுத்துவதற்கு மாற்றலாம். பாதிப்பைப் பயன்படுத்த, IPMI வழியாக BMC கன்ட்ரோலருக்கு ஒரு கட்டளையை அனுப்ப அனுமதிக்கும் உரிமைகள் உங்களிடம் இருக்க வேண்டும் (உங்களிடம் சர்வரில் நிர்வாகி உரிமைகள் இருந்தால், கூடுதல் அங்கீகாரம் இல்லாமல் IPMI கட்டளையை அனுப்பலாம்).
ஜிகாபைட் மற்றும் லெனோவா ஜூலை 2018 இல் சிக்கல்கள் குறித்து அறிவிக்கப்பட்டது மற்றும் தகவல் பொதுவில் வெளியிடப்படுவதற்கு முன்பு புதுப்பிப்புகளை வெளியிட முடிந்தது. லெனோவா நிறுவனம் நவம்பர் 15, 2018 அன்று ThinkServer RD340, TD340, RD440, RD540 மற்றும் RD640 சேவையகங்களுக்கான ஃபார்ம்வேர் புதுப்பிப்புகள், ஆனால் 2014 இல் MergePoint EMS அடிப்படையிலான சேவையகங்களின் வரிசையை உருவாக்கும் போது, கட்டளை மாற்றீட்டை அனுமதிக்கும் பாதிப்பை மட்டுமே நீக்கியது. டிஜிட்டல் கையொப்பத்தைப் பயன்படுத்தி சரிபார்ப்பு மேற்கொள்ளப்பட்டது இன்னும் பரவலாக இல்லை மற்றும் ஆரம்பத்தில் அறிவிக்கப்படவில்லை.
இந்த ஆண்டு மே 8 அன்று, ஜிகாபைட் ASPEED AST2500 கட்டுப்படுத்தியுடன் மதர்போர்டுகளுக்கான ஃபார்ம்வேர் புதுப்பிப்புகளை வெளியிட்டது, ஆனால் லெனோவாவைப் போலவே, இது கட்டளை மாற்று பாதிப்பை மட்டுமே சரிசெய்தது. ASPEED AST2400 அடிப்படையிலான பாதிக்கப்படக்கூடிய பலகைகள் இப்போது புதுப்பிப்புகள் இல்லாமல் உள்ளன. ஜிகாபைட் கூட AMI இலிருந்து MegaRAC SP-X firmware ஐப் பயன்படுத்துவதற்கான மாற்றம் பற்றி. MegaRAC SP-X அடிப்படையிலான புதிய ஃபார்ம்வேர் உட்பட, MergePoint EMS ஃபார்ம்வேருடன் முன்பு அனுப்பப்பட்ட கணினிகளுக்கு வழங்கப்படும். MergePoint EMS இயங்குதளத்தை இனி ஆதரிக்காது என்ற Vertiv இன் அறிவிப்பைத் தொடர்ந்து இந்த முடிவு எடுக்கப்பட்டுள்ளது. அதே நேரத்தில், Acer, AMAX, Bigtera, Ciara, Penguin Computing மற்றும் sysGen ஆகியவற்றால் உருவாக்கப்பட்ட சேவையகங்களில், Gigabyte போர்டுகளை அடிப்படையாகக் கொண்ட மற்றும் பாதிக்கப்படக்கூடிய MergePoint EMS ஃபார்ம்வேர் பொருத்தப்பட்ட, ஃபார்ம்வேர் புதுப்பிப்புகள் பற்றி இதுவரை எதுவும் தெரிவிக்கப்படவில்லை.
BMC என்பது சேவையகங்களில் நிறுவப்பட்ட ஒரு சிறப்புக் கட்டுப்படுத்தி என்பதை நினைவுபடுத்துவோம், இது அதன் சொந்த CPU, நினைவகம், சேமிப்பு மற்றும் சென்சார் வாக்குப்பதிவு இடைமுகங்களைக் கொண்டுள்ளது, இது சேவையக உபகரணங்களைக் கண்காணிப்பதற்கும் நிர்வகிப்பதற்கும் குறைந்த-நிலை இடைமுகத்தை வழங்குகிறது. BMC ஐப் பயன்படுத்தி, சர்வரில் இயங்கும் இயக்க முறைமையைப் பொருட்படுத்தாமல், நீங்கள் சென்சார்களின் நிலையை கண்காணிக்கலாம், பவர், ஃபார்ம்வேர் மற்றும் வட்டுகளை நிர்வகிக்கலாம், நெட்வொர்க்கில் ரிமோட் துவக்கத்தை ஒழுங்கமைக்கலாம், தொலைநிலை அணுகல் கன்சோலின் செயல்பாட்டை உறுதிப்படுத்தலாம்.
ஆதாரம்: opennet.ru