OpenBMC’da xavfli zaiflik tuzatildi.
Zaiflik faqat ma’lum BMC sozlamalari va apparat konfiguratsiyalarida yuzaga keladi.
IBM Linux Technology Center dasturiy ta’minot ishlab chiqaruvchisi Styuart Smit Baseboard Management Controller (BMC) platformasida xavfli zaiflikni aniqladi. Smit uni «pantsdown» deb atadi. Zaiflik (CVE-2019-6260) faqat ma’lum BMC sozlamalari va apparat konfiguratsiyalarida yuzaga keladi. Muammo ASPEED ast2400 va ast2500 tizimlariga ta’sir qiladi; boshqa apparat vositalari zaiflik uchun sinovdan o’tkazilmagan. Barcha qo’llab-quvvatlanadigan Aspeed platformalaridagi 2.6 dan oldingi barcha OpenBMC versiyalari zaif.
Muammo ASPEED ast2400 va ast2500 da Advanced High-Performance Bus (AHB) ni joriy etish bilan bog’liq bo’lib, u BMC konsoli UART ketma-ket markazga ulangan bo’lsa, xost yoki tarmoqdan jismoniy manzil maydoniga o’zboshimchalik bilan o’qish/yozish imkonini beradi.
Zaiflik tajovuzkorga konsolga masofadan kirish va zararli kodni bajarish, o’zboshimchalik bilan ma’lumotlarni o’qish va yozish, konfiguratsiya sozlamalarini o’zgartirish va hatto xizmat ko’rsatishni rad etish imkonini beradi.
Smit o’zining kashfiyoti haqida IBM OpenPOWERga xabar berdi va zaiflik tuzatildi.
