技嘉科技伺服器Vertiv BMC韌體安全漏洞公告與說明

CVE-2019-6260, CVE-2018-9086
2019/07/22

日期 (更新): 2019年8月12日
韌體漏洞項目:
  1. CVE-2019-6260 (允許透過主機任意讀寫主機板控制器)
  2. CVE-2018-9086 (韌體更新行程自身存在指令注入漏洞)
  3. 韌體接收更新前未做加密簽章驗證
受影響的產品: 所有搭載ASPEED AST2300, AST2400或AST2500 BMC或AST1250 CMC主機板控制器以及Vertiv Avocent MergePoint EMS韌體的伺服器產品

親愛的客戶與合作夥伴您好:

技嘉科技已留意近期由Vertiv發布的Avocent MergePoint EMS平台發現了幾項安全漏洞,由於技嘉伺服器採用的主機板控制器Aspeed AST2300、AST2400或AST2500 BMC或AST1250 CMC採用Vertiv Avocent MergePoint EMS韌體,故技嘉科技伺服器產品亦受波及影響。此次的漏洞項目說明如下:

  1. CVE-2019-6260:允許主機對主機板控制器的物理地址進行任意讀寫漏洞
  2. CVE-2018-9086:主機板控制器韌體下載指令中存在一個指令注入漏洞。其可允許特定管理人員在主機板控制器中下載並執行任意代碼,讓其只能被已授權的特定管理人員所使用。
  3. 加密驗證:Avocent MergePoint EMS的主機板控制器韌體更新過程在接受更新並將內容寫入SPI閃存之前不會執行加密簽名驗證。

技嘉科技近期已發佈更新版本韌體其包含了針對安全性漏洞的修補程式(用戶可透過每個產品頁面下載更新檔)。

  1. 對於搭載ASPEED AST2500的伺服器產品,於2019年5月7日發布Vertiv韌體版本1.84其包含對CVE-2019-6260和CVE-2018-9086安全漏洞的修補程式
  2. 對於使用ASPEED AST2400的伺服器產品,於2019年7月22日發布Vertiv韌體版本8.83_4.83其包含對CVE-2019-6260安全漏洞的修補程式
  3. 對於使用ASPEED AST1250 CMC的伺服器產品,於2019年7月22日發布Vertiv韌體版本1.33其包含對CVE-2018-9086安全漏洞的修補程式

我們正在持續發布Vertiv韌體更新,以緩解尚未透過上述三筆韌體更新解決的安全漏洞。下表為當前韌體可取得版本與更新時間表(若有任何更新或延遲,會再另行通知):

安全性漏洞項目AST2500AST2400AST1250 CMCAST2400 ARMAST2300
CVE-2019-6260 已可取得
修補程式版本:1.84
當前版本:1.91
已可取得
修補程式版本: 8.83_4.83
當前版本:8.86_4.86
N/A* 已可取得
修補程式版本: 771_371
當前版本: 772_372
已可取得
修補程式版本/當前版本: 2.43
CVE-2018-9086 已可取得
修補程式版本: 1.84
當前版本: 1.91
已可取得
修補程式版本: 8.85_4.85
當前版本:8.86_4.86
已可取得
修補程式版本: 1.33
當前版本:1.34
已可取得
修補程式版本: 771_371
當前版本: 772_372
已可取得
修補程式版本/當前版本: 2.43
加密驗證 已可取得
修補程式版本/當前版本:1.91
已可取得
修補程式版本/當前版本:8.86_4.86
已可取得
修補程式版本/當前版本:1.34
已可取得
修補程式版本/當前版本:772_372
已可取得
修補程式版本/當前版本: 2.43

* AST1250 CMC不支援主機訪問功能

另外,技嘉科技已正式宣布對於Avocent MergePoint EMS韌體的終止支援(EOS),支援期限至2020年3月27日止。對於所有採用技嘉伺服器產品並搭載ASPEED AST2500主機板控制器的客戶與合作夥伴們,建議您切換至AMI MegaRAC SP-X韌體解決方案。有關Vertiv韌體終止支援的更多信息以及如何操作切換至AMI韌體版本的說明,請參閱:https://www.gigabyte.com/tw/Press/News/1700

如需更多信息或幫助,請諮詢您的技嘉科技銷售代表或發送電子郵件至server.grp(at)gigabyte.com