日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Bleeping Computer 網(wǎng)站披露，Eclypsium 的研究人員發(fā)現(xiàn)美國 Megatrends  MegaRAC 基板管理控制器（BMC）軟件中存在三個漏洞，這些漏洞影響許多云服務和數(shù)據(jù)中心運營商使用的服務器設備。

創(chuàng)新互聯(lián)公司是一家從事企業(yè)網(wǎng)站建設、網(wǎng)站設計制作、網(wǎng)站設計、行業(yè)門戶網(wǎng)站建設、網(wǎng)頁設計制作的專業(yè)網(wǎng)站制作公司，擁有經(jīng)驗豐富的網(wǎng)站建設工程師和網(wǎng)頁設計人員，具備各種規(guī)模與類型網(wǎng)站建設的實力，在網(wǎng)站建設領域樹立了自己獨特的設計風格。自公司成立以來曾獨立設計制作的站點上千。

據(jù)悉，研究人員在檢查泄露的美國 Megatrends專有代碼，以及 MegaRAC BMC 固件后發(fā)現(xiàn)了這些漏洞，某些條件下，攻擊者一旦成功利用漏洞，便可以執(zhí)行任意代碼、并繞過身份驗證，執(zhí)行用戶枚舉。

MegaRAC BMC 作為一個遠程系統(tǒng)管理解決方案，允許管理員像站在設備前面一樣遠程排除服務器故障。目前， MegaRAC BMC 固件至少有 15 家服務器制造商使用，其中主要包括 AMD、Ampere Computing、ASRock、華碩、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、華為、浪潮、聯(lián)想、英偉達、高通、Quanta 和 Tyan 等。

漏洞詳細信息：

Eclypsium 發(fā)現(xiàn)并向美國 Megatrends 和受影響供應商報告的三個漏洞如下：

• CVE-2022-40259（CVSS v3.1評分：9.9“嚴重”）Redfish API 存在任意代碼執(zhí)行缺陷。
• CVE-2022-40242（CVSS v3.1評分：8.3“高”）:sysadmin 用戶的默認憑據(jù)，允許攻擊者建立管理 shell。
• CVE-2022-2827（CVSS v3.1評分：7.5“高”），請求操作漏洞，允許攻擊者枚舉用戶名并確定帳戶是否存在。

這三個漏洞中最嚴重的一個漏洞是 CVE-2022-40259，盡管它需要事先訪問至少一個低特權帳戶才能執(zhí)行 API回調(diào)。

漏洞產(chǎn)生的影響

CVE-2022-40259 和 CVE-2022-40242 這兩個漏洞非常嚴重，因為攻擊者可以利用它們無需進一步升級，即可訪問管理外殼。一旦攻擊者成功利用了這些漏洞，可能會引起數(shù)據(jù)操縱、數(shù)據(jù)泄露、服務中斷、業(yè)務中斷等。

Eclypsium 在報告中強調(diào)，由于數(shù)據(jù)中心傾向于在特定硬件平臺上實現(xiàn)標準化，任何 BMC 級別的漏洞都很可能適用于大量設備，并可能影響整個數(shù)據(jù)中心及其提供的服務。

更糟糕的是，服務器組件上托管和云提供商的標準化意味著這些漏洞可以輕易影響數(shù)十萬，甚至數(shù)百萬系統(tǒng)。因此，建議系統(tǒng)管理員立刻禁用遠程管理選項，并在可能的情況下添加遠程身份驗證步驟。

此外，管理員應盡量減少 Redfish 等服務器管理界面的外部暴露，并確保所有系統(tǒng)上都安裝了最新的可用固件更新。

參考文章：https://www.bleepingcomputer.com/news/security/severe-ami-megarac-flaws-impact-servers-from-amd-arm-hpe-dell-others/

網(wǎng)頁題目：高危AMIMegaRAC漏洞影響AMD、ARM、HPE、Dell等眾多服務器
網(wǎng)頁URL：http://m.5511xx.com/article/ccdshhp.html