聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
华硕发布安全更新,修复CVSS评分为10的严重漏洞CVE-2024-54085,它可导致攻击者劫持并导致服务器崩溃。
该漏洞影响安迈科技公司的 MegaRAC BMC 软件,而它用于超过12家服务器硬件厂商,包括慧与、华硕以及ASRock公司。CVE-2024-54085可遭远程利用,可能导致恶意软件感染、固件遭修改以及因电压过高造成的不可逆物理损坏。
Eclypsium 公司在一份相关的报告中提到,“本地或远程攻击者可通过访问远程管理界面 (Redfish) 或BMC 界面 (Redfish) 的内部主机,利用该漏洞。利用该漏洞可导致攻击者远程控制受陷服务器、远程部署恶意软件、勒索软件、固件篡改、导致主板组件(BMC 或可能是BIOS/UEFI)崩溃、还可能造成服务器物理损坏(电压过高/崩溃)及受害者无法停止的重启循环。”
尽管AMI公司在2025年3月11日发布安全通告和补丁,但受影响的原始设备制造商将修复方案部署在产品上时需要时间。今天,华硕宣布已为受CVE-2024-54085影响的四款主板模型发布修复方案。
用户应升级到的 BMC 固件版本如下:
PRO WS W790E-SAGE SE – 1.1.57版本
PRO WS W680M-ACE SE –1.1.21版本
PRO WS WRX90E-SAGE SE –2.1.28版本
Pro WS WRX80E-SAGE SE WIFI –1.34.0版本
鉴于该漏洞的严重性高,且可被远程利用,因此应尽快执行固件更新。可通过web界面>维护>固件更新进行,选择该文件,并点击“开启固件更新”来下载最新版的BMC 固件更新(.ima 文件)。也同时建议用户检查“full flash”选项。要了解关于安全执行 MBC 固件更新和调试的更多相关信息,可查看华硕公司的FAQ页面。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/asus-releases-fix-for-ami-bug-that-lets-hackers-brick-servers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
