技嘉科技服务器Vertiv BMC韧体安全漏洞公告与说明

CVE-2019-6260, CVE-2018-9086
2019/07/22

日期: 2019年8月12日
韧体漏洞项目:
  1. CVE-2019-6260 (允许透过主机任意读写主板控制器)
  2. CVE-2018-9086 (韧体更新行程自身存在指令注入漏洞)
  3. 韧体接收更新前未做加密签章验证
受影响的产品: 所有搭载ASPEED AST2300, AST2400或AST2500 BMC或AST1250 CMC主板控制器以及Vertiv Avocent MergePoint EMS韧体的服务器产品

亲爱的客户与合作伙伴您好:

技嘉科技已留意近期由Vertiv发布的Avocent MergePoint EMS平台发现了几项安全漏洞,由于技嘉服务器采用的主板控制器Aspeed AST2300、AST2400或AST2500 BMC或AST1250 CMC采用Vertiv Avocent MergePoint EMS韧体,故技嘉科技服务器产品亦受波及影响。此次的漏洞项目内容如下:

  1. CVE-2019-6260:允许主机对主板控制器的物理地址进行任意读写的漏洞披露
  2. CVE-2018-9086:主板控制器韧体下载指令中存在一个指令注入漏洞。其可允许特定管理人员在主板控制器中下载并执行任意代码,让其只能被已授权的特定管理人员所使用。
  3. 加密验证:Avocent MergePoint EMS的主板控制器韧体更新过程在接受更新并将内容写入SPI闪存之前不会执行加密签名验证。

技嘉科技近期已发布更新版本韧体其包含了针对安全漏洞的修补程序(用户可透过每个产品页面下载更新档)。

  1. 对于搭载ASPEED AST2500的服务器产品,于2019年4月26日发布Vertiv韧体版本1.84其包含对CVE-2019-6260和CVE-2018-9086安全漏洞的修补程序
  2. 对于使用ASPEED AST2400的服务器产品,于2019年5月16日发布Vertiv韧体版本8.83_4.83其包含对CVE-2019-6260安全漏洞的修补程序
  3. 对于使用ASPEED AST1250 CMC的服务器产品,于2019年7月22日发布Vertiv韧体版本1.33其包含对CVE-2018-9086安全漏洞的修补程序

我们正在持续发布Vertiv韧体更新,以缓解尚未透过上述两笔韧体更新解决的安全漏洞。下表为当前的韧体可取得版本与更新时间表(若有任何更新或延迟,会再另行通知):

安全漏洞项目AST2500AST2400AST1250 CMCAST2400 ARMAST2300
CVE-2019-6260 已可取得
修补程序版本:1.84
当前版本:1.91
已可取得
修补程序版本: 8.83_4.83
当前版本:8.86_4.86
N/A* 已可取得
修补程序版本: 771_371
当前版本: 772_372
已可取得
修补程序版本/当前版本: 2.43
CVE-2018-9086 已可取得
修补程序版本: 1.84
当前版本: 1.91
已可取得
修补程序版本: 8.85_4.85
当前版本:8.86_4.86
已可取得
修补程序版本:1.33
当前版本:1.34
已可取得
修补程序版本: 771_371
当前版本: 772_372
已可取得
修补程序版本/当前版本: 2.43
加密验证 已可取得
修补程序版本/当前版本:1.91
已可取得
修补程序版本/当前版本:8.86_4.86
已可取得
修补程序版本/当前版本:1.34
已可取得
修补程序版本/当前版本:772_372
已可取得
修补程序版本/当前版本: 2.43

* AST1250 CMC不支持主机访问功能

另外,技嘉科技已正式宣布对于Avocent MergePoint EMS韧体的终止支持(EOS),支持期限到2020年3月27日止。对于所有采用技嘉服务器产品并搭载ASPEED AST2500主板控制器的客户与合作伙伴们,建议您切换到AMI MegaRAC SP-X韧体解决方案。有关Vertiv韧体终止支持的更多信息以及如何操作切换到AMI韧体版本的说明,请参阅:https://www.gigabyte.cn/Press/News/1700

如需更多信息或帮助,请咨询您的技嘉科技销售代表或发送电子邮件到server.grp(at)gigabyte.com