Vertiv製BMCファームウェア 脆弱性についてのご案内と対応内容について

お客様各位

GIGABYTEは、この度、ASPEED社製BMCの AST2300、AST2400、AST2500や、AST1250 CMCを搭載した弊社製サーバー製品のファームウェアとして使用されているVertiv社製Avocent MergePoint EMSプラットフォーム上にセキュリティ上の脆弱性がある事を確認いたしました。
（米国のサイバーセキュリティ研究機関「Eclypsium」のブログ記事に関連内容が掲載。記事内容はこちら）

1. CVE-2019-6260: ASPEED社製AST2400、AST2500 Baseband Management Controller（BMC）及びファームウェアは、Advanced High-Performance Bus（AHB）ブリッジを実装しており、ホストからBMC物理アドレス空間への任意の読み込み及び書き込みアクセスが可能な状態となっています。
2. CVE-2018-9086: BMCのファームウェアダウンロードコマンドにコマンドインジェクションの脆弱性が存在します。特権アカウントユーザーはBMC内で任意のコードをダウンロードし、それを実行することができる状態にあります。これは権限を与えられた特権アカウントユーザだけが実行可能な状態です。
3. 電子署名の検証: Avocent MergePoint EMSプラットフォーム用のBMCファームウェア更新プロセス内に、更新を受諾してから更新内容をSPI Flashに書き込む前の段階で、電子署名の検証が行われていない状態です。

GIGABYTEでは、これらの脆弱性に対処するためのパッチを適用したファームウェアバージョン（各製品ページからダウンロード可能）をリリースいたしました。

1. 2019年5月7日付けにて、ASPEED AST2500を搭載した製品を対象に、CVE-2019-6260とCVE-2018-9086の脆弱性に対応したパッチで更新されたVertivファームウェアバージョン1.84をリリースいたしました。
2. 2019年7月22日付けにて、ASPEED AST2400を搭載した製品を対象に、CVE-2019-6260の脆弱性に対応したパッチで更新されたVertivファームウェアバージョン8.83_4.83をリリースいたしました。
3. 2019年7月22日付けにて、ASPEED AST1250 CMCを搭載した製品を対象に、CVE-2018-9086の脆弱性に対応したパッチで更新されたVertivファームウェアバージョン1.33をリリースいたしました。

GIGABYTEでは、上記のアップデートでは解決されていない残りの脆弱性を軽減する為、Vertivファームウェアアップデートが迅速に行えるよう鋭意努めております。

* AST1250 CMCはホストアクセス機能をサポートしていません。

GIGABYTEでは、Avocent MergePoint EMSのサポートの終了（EOS）を正式に発表いたしました。これまで通り2020年5月27日まではサポートを受ける事が可能ですが、ASPEED AST2500 BMCを搭載した弊社製のサーバー製品をお使いのお客様に於かれましては、弊社の新しいAMI MegaRAC SP-Xファームウェアソリューションへの切り替えを推奨しております。Vertivファームウェアのサポートの終了（EOS）ご案内についてと、AMI MegaRAC SP-Xファームウェアソリューションへの切り替えの方法について、こちらまで： https://www.gigabyte.com/Press/News/1700

より詳しい情報や、サポートが必要な場合は、弊社営業窓口にご連絡頂くか、以下のお問い合わせアドレスまでご連絡をお願いいたします。 marketing(at)gigacomputing.com