Intel server anakartlari, server tizimlari va hisoblash modullarining proshivkalaridagi 22 ta zaiflikni bartaraf etish bo'yicha. Uchta zaiflik, ulardan biri kritik darajaga ega ( - CVSS 9.6, - CVSS 8.3, - CVSS 4.7) Intel mahsulotlarida ishlatiladigan Emulex Pilot 3 BMC kontroller proshivkasida. Zaifliklar masofaviy boshqaruv konsoliga (KVM) autentifikatsiya qilinmagan kirish imkonini beradi, USB xotira qurilmalarini taqlid qilishda autentifikatsiyani chetlab o'tadi va BMCda ishlatiladigan Linux yadrosida masofaviy bufer to'lib ketishiga olib keladi.
CVE-2020-8708 zaifligi autentifikatsiya qilinmagan tajovuzkorga BMC boshqaruv muhitiga kirish uchun zaif server bilan umumiy mahalliy tarmoq segmentiga kirish imkonini beradi. Ta'kidlanishicha, zaiflikdan foydalanish texnikasi juda oddiy va ishonchli, chunki muammo me'moriy xatolik tufayli yuzaga kelgan. Bundan tashqari, ko'ra Tadqiqotchi zaiflikni aniqlagandan so'ng, BMC bilan ekspluatatsiya orqali ishlash standart Java mijozidan foydalanishdan ko'ra ancha qulayroqdir. Muammodan ta'sirlangan uskunalar orasida Intel server tizimlari R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF va R2000WF, S2600WT, S2600CW, S2600KP, S2600TP, S1200 va S2600 anakartlari bor. 2600BP , shuningdek hisoblash modullari HNS2600KP, HNS2600TP va HNS2600BP. Zaifliklar mikrodastur yangilanishi 2600 da tuzatildi.
Norasmiy ma'lumotlarga ko'ra BMC Emulex Pilot 3 uchun proshivka AMI tomonidan yozilgan, shuning uchun boshqa ishlab chiqaruvchilarning tizimlarida zaifliklarning namoyon bo'lishi. Muammolar Linux yadrosi va foydalanuvchi makonini boshqarish jarayonining tashqi yamoqlarida mavjud bo'lib, uning kodi tadqiqotchi tomonidan muammoni o'zi duch kelgan eng yomon kod sifatida aniqlagan.
Eslatib o'tamiz, BMC serverlarda o'rnatilgan ixtisoslashtirilgan kontroller bo'lib, u o'zining markaziy protsessoriga, xotirasiga, saqlash va sensorli so'rov interfeyslariga ega bo'lib, server uskunasini kuzatish va boshqarish uchun past darajadagi interfeysni ta'minlaydi. BMC-dan foydalanib, serverda ishlaydigan operatsion tizimdan qat'i nazar, siz sensorlar holatini kuzatishingiz, quvvatni, proshivka va disklarni boshqarishingiz, tarmoq orqali masofadan yuklashni tashkil qilishingiz, masofaviy kirish konsolining ishlashini ta'minlashingiz va hokazo.
Manba: opennet.ru