Ile-iṣẹ Eclypsium awọn ailagbara meji ninu famuwia ti oludari BMC ti a pese ni awọn olupin Lenovo ThinkServer, gbigba olumulo agbegbe kan lati yi famuwia pada tabi ṣiṣẹ koodu lainidii ni ẹgbẹ chirún BMC.
Itupalẹ siwaju sii fihan pe awọn iṣoro wọnyi tun kan famuwia ti awọn oludari BMC ti a lo ninu awọn iru ẹrọ olupin Gigabyte Enterprise Servers, eyiti o tun lo ninu awọn olupin lati awọn ile-iṣẹ bii Acer, AMAX, Bigtera, Ciara, Penguin Computing ati sysGen. Awọn oludari BMC iṣoro naa lo famuwia MergePoint EMS ti o ni ipalara ti o dagbasoke nipasẹ olutaja ẹni-kẹta Avocent (bayi pipin ti Vertiv).
Ailagbara akọkọ jẹ nitori aini ijẹrisi cryptographic ti awọn imudojuiwọn famuwia ti a ṣe igbasilẹ (ijẹrisi ayẹwo ayẹwo CRC32 nikan ni a lo, ni ilodi si NIST lo awọn ibuwọlu oni nọmba), eyiti ngbanilaaye ikọlu pẹlu iraye si agbegbe si eto lati sọ famuwia BMC jẹ. Iṣoro naa, fun apẹẹrẹ, le ṣee lo lati ṣepọ jinlẹ jinlẹ ti rootkit ti o wa lọwọ lẹhin fifi sori ẹrọ ẹrọ ati awọn bulọọki awọn imudojuiwọn famuwia siwaju (lati yọkuro rootkit, iwọ yoo nilo lati lo olutọpa kan lati tun fi filasi SPI kọ).
Ailagbara keji wa ninu koodu imudojuiwọn famuwia ati gba ọ laaye lati paarọ awọn aṣẹ tirẹ, eyiti yoo ṣe ni BMC pẹlu ipele ti o ga julọ ti awọn anfani. Lati kọlu, o to lati yi iye ti RemoteFirmwareImageFilePath paramita ni bmcfwu.cfg iṣeto ni faili, nipasẹ eyiti ọna si aworan ti famuwia imudojuiwọn ti pinnu. Lakoko imudojuiwọn atẹle, eyiti o le bẹrẹ nipasẹ aṣẹ ni IPMI, paramita yii yoo jẹ ilọsiwaju nipasẹ BMC ati lo gẹgẹ bi apakan ti ipe popen () gẹgẹbi apakan ti laini fun / bin/sh. Niwọn igba ti a ṣẹda laini fun ipilẹṣẹ aṣẹ ikarahun ni lilo ipe snprintf () laisi mimọ to dara ti awọn ohun kikọ pataki, awọn ikọlu le paarọ koodu wọn fun ipaniyan. Lati lo ailagbara naa, o gbọdọ ni awọn ẹtọ ti o gba ọ laaye lati fi aṣẹ ranṣẹ si oludari BMC nipasẹ IPMI (ti o ba ni awọn ẹtọ alabojuto lori olupin naa, o le fi aṣẹ IPMI ranṣẹ laisi ijẹrisi afikun).
Gigabyte ati Lenovo ti gba ifitonileti ti awọn iṣoro pada ni Oṣu Keje ọdun 2018 ati ṣakoso lati tu awọn imudojuiwọn silẹ ṣaaju sisọ alaye naa ni gbangba. Ile-iṣẹ Lenovo famuwia awọn imudojuiwọn ni Oṣu kọkanla ọjọ 15, Ọdun 2018 fun ThinkServer RD340, TD340, RD440, RD540 ati awọn olupin RD640, ṣugbọn yọkuro ailagbara ninu wọn ti o fun laaye aropo aṣẹ, nitori lakoko ṣiṣẹda laini awọn olupin ti o da lori MergePoint EMS ni ọdun 2014, famuwia famuwia. ijerisi ti gbe jade nipa lilo ibuwọlu oni-nọmba kan ko sibẹsibẹ ni ibigbogbo ati pe a ko kede lakoko.
Ni Oṣu Karun ọjọ 8 ti ọdun yii, Gigabyte ṣe idasilẹ awọn imudojuiwọn famuwia fun awọn modaboudu pẹlu oluṣakoso ASPEED AST2500, ṣugbọn bii Lenovo, o ṣatunṣe ailagbara fidipo aṣẹ nikan. Awọn igbimọ ipalara ti o da lori ASPEED AST2400 wa laisi awọn imudojuiwọn fun bayi. Gigabyte tun nipa iyipada si lilo famuwia MegaRAC SP-X lati AMI. Pẹlu famuwia tuntun ti o da lori MegaRAC SP-X yoo funni fun awọn eto ti a firanṣẹ tẹlẹ pẹlu famuwia MergePoint EMS. Ipinnu naa tẹle ikede Vertiv pe kii yoo ṣe atilẹyin Syeed MergePoint EMS mọ. Ni akoko kanna, ko si ohun ti o royin sibẹsibẹ nipa awọn imudojuiwọn famuwia lori awọn olupin ti a ṣelọpọ nipasẹ Acer, AMAX, Bigtera, Ciara, Penguin Computing ati sysGen ti o da lori awọn igbimọ Gigabyte ati ni ipese pẹlu famuwia MergePoint EMS ti o ni ipalara.
Jẹ ki a ranti pe BMC jẹ oludari amọja ti a fi sori ẹrọ ni awọn olupin, eyiti o ni Sipiyu tirẹ, iranti, ibi ipamọ ati awọn atọkun idibo sensọ, eyiti o pese wiwo ipele kekere fun ibojuwo ati iṣakoso ohun elo olupin. Lilo BMC, laibikita ẹrọ ti n ṣiṣẹ lori olupin, o le ṣe atẹle ipo awọn sensosi, ṣakoso agbara, famuwia ati awọn disiki, ṣeto awọn booting latọna jijin lori nẹtiwọọki, rii daju iṣẹ ti console iwọle latọna jijin, ati bẹbẹ lọ.
orisun: opennet.ru