BDU:2023-00780

Опубликовано: 02 сент. 2021

Источник: fstec

CVSS3: 10

CVSS2: 10

EPSS Низкий

Описание

Уязвимость интерфейса netipmid (IPMI lan+) встраиваемой операционной системы OpenBMC связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и получить полный контроль над системой

Вендор

Intel Corp.

Сообщество свободного программного обеспечения

Наименование ПО

Intel Xeon E Series

Intel Xeon Scalable Processor

Intel Xeon Processor W 3100

3rd Gen Intel Xeon Scalable processor family

Intel C620A series

Intel C620 series

OpenBMC

Intel Xeon W 3200

Intel C250 series

Intel C740

Версия ПО

- (Intel Xeon E Series)

- (Intel Xeon Scalable Processor)

- (Intel Xeon Processor W 3100)

- (3rd Gen Intel Xeon Scalable processor family)

- (Intel C620A series)

- (Intel C620 series)

до 2.9 (OpenBMC)

- (Intel Xeon W 3200)

- (Intel C250 series)

- (Intel C740)

Тип ПО

Микропрограммный код

ПО программно-аппаратного средства

Микропрограммный код аппаратных компонент компьютера

Операционная система

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- применение систем обнаружения и предотвращения вторжений для ограничения возможностей получения нарушителем удаленного доступа;

- минимизация пользовательских привилегий;

- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей.

Использование рекомендаций производителя:

Для программного обеспечения BMC:

https://github.com/openbmc/openbmc

Для программных продуктов Intel:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00737.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-39296
CVE

EPSS

Процентиль: 25%

0.00087

Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-39296

CVSS3: 10

nvd

больше 4 лет назад

In OpenBMC 2.9, crafted IPMI messages allow an attacker to bypass authentication and gain full control of the system.

EPSS

Процентиль: 25%

0.00087

Низкий

10 Critical

CVSS3

10 Critical

CVSS2