Ширкати Eclypsium
Таҳлили минбаъда нишон дод, ки ин мушкилот инчунин ба нармафзори контроллерҳои BMC, ки дар платформаҳои серверии Gigabyte Enterprise Servers истифода мешаванд, таъсир мерасонанд, ки онҳо инчунин дар серверҳои ширкатҳои ба монанди Acer, AMAX, Bigtera, Ciara, Penguin Computing ва sysGen истифода мешаванд. Контроллерҳои мушкили BMC нармафзори осебпазири MergePoint EMS-ро истифода бурданд, ки аз ҷониби фурӯшандаи тарафи сеюм Avocent таҳия шудааст (ҳоло як бахши Vertiv).
осебпазирии аввал бо сабаби набудани санҷиши криптографии навсозиҳои нармафзори зеркашидашуда ба вуҷуд омадааст (танҳо санҷиши санҷиши CRC32 истифода мешавад, баръакс
Осебпазирии дуюм дар рамзи навсозии нармафзор мавҷуд аст ва ба шумо имкон медиҳад, ки фармонҳои шахсии худро иваз кунед, ки дар BMC бо дараҷаи баландтарини имтиёзҳо иҷро карда мешаванд. Барои ҳамла кардан, тағир додани арзиши параметри RemoteFirmwareImageFilePath дар файли конфигуратсияи bmcfwu.cfg кифоя аст, ки тавассути он роҳ ба тасвири нармафзори навшуда муайян карда мешавад. Дар давоми навсозии навбатӣ, ки мумкин аст аз ҷониби як фармон дар IPMI оғоз, ин параметр аз ҷониби BMC коркард ва ҳамчун қисми popen истифода бурда мешавад () занг ҳамчун як қисми хати барои /bin/sh. Азбаски сатри тавлиди фармони shell бо истифода аз занги snprintf() бидуни тозакунии дурусти аломатҳои махсус сохта мешавад, ҳамлагарон метавонанд рамзи худро барои иҷро иваз кунанд. Барои истифода аз осебпазирӣ, шумо бояд ҳуқуқҳое дошта бошед, ки ба шумо имкон медиҳад фармонро ба контроллери BMC тавассути IPMI фиристед (агар шумо дар сервер ҳуқуқҳои администратор дошта бошед, шумо метавонед фармони IPMI-ро бе аутентификатсияи иловагӣ фиристед).
Gigabyte ва Lenovo аз мушкилот дар моҳи июли соли 2018 огоҳ шуда буданд ва тавонистанд, ки пеш аз ифшои иттилоот навсозиро интишор кунанд. Ширкати Lenovo
8 майи соли ҷорӣ, Gigabyte навсозиҳои нармафзорро барои motherboards бо контролери ASPEED AST2500 интишор кард, аммо ба монанди Lenovo, он танҳо осебпазирии ивазкунии фармонро ислоҳ кард. Тахтаҳои осебпазир дар асоси ASPEED AST2400 ҳоло бе навсозӣ боқӣ мемонанд. Гигабайт низ
Ёдовар мешавем, ки BMC як контролери махсусест, ки дар серверҳо насб карда шудааст, ки дорои CPU, хотира, нигаҳдорӣ ва сенсорҳои пурсишҳои сенсории худро дорад, ки интерфейси сатҳи пасти мониторинг ва идоракунии таҷҳизоти серверро таъмин мекунад. Бо истифода аз BMC, новобаста аз системаи амалиётие, ки дар сервер кор мекунад, шумо метавонед ҳолати сенсорҳоро назорат кунед, қудрат, нармафзор ва дискҳоро идора кунед, пурборкунии дурдаст тавассути шабакаро ташкил кунед, кори консоли дастрасии дурдаст ва ғайраҳоро таъмин кунед.
Манбаъ: opennet.ru