Quoi de plus critique pour un serveur qu'un composant en charge de son contrôle à distance. Ainsi, quand des produits aussi répandus que les derniers SoC d'ASPEED sont touchés par une faille, cela fait réagir les constructeurs. Gigabyte vient ainsi de publier le calendrier de ses prochains correctifs.
Fin janvier, on apprenait que deux puces permettant notamment le contrôle à distance (BMC) des machines, largement utilisées sur des cartes mères pour serveurs, étaient touchées par une faille à travers leurs Advanced High-performance Bus (AHB) et les interfaces LPC, PCIe ou UART : les AST2400 et AST2500 d'ASPEED.
De quoi permettre l'accès sans authentification en lecture et en écriture à l'espace d'adresses physiques du SoC depuis l'hôte ou une connexion réseau dans certains cas (CVE-2019-6260).
Plusieurs implémentations sont touchées : OpenBMC, AMI ou celle de SuperMicro. La société a d'ailleurs déjà communiqué sur le sujet, sans publier de nouveau bulletin de sécurité. ASUS à fait de même. De son côté, Gigabyte qui utilise des firmwares AMI vient de mettre en ligne un communiqué de presse détaillant l'arrivée de ses correctifs.
Les serveurs à base de Xeon E (Mehlow) seront les premiers concernés dès le 29 mars avec une mise à jour de leur BIOS. Suivront les Xeon Scalable (Cascade Lake) le 2 avril, les Xeon D (Skylake D) le 5 avril, les Epyc (Naples) le 12 avril. Gigabyte précise que la version 2.83 du BMC AMI sera publiée le 1er avril.
Concernant les machines à base de Skylake, Cavium ThunderX(2) ou autre sur base Vertiv/AMI, aucune date n'a été donnée pour le moment. Si vous disposez de cartes mères ou de serveurs exploitant ces puces, intégrées par d'autres constructeurs, rapprochez-vous de ce dernier pour savoir quels correctifs ont été ou vont être publiés.
Commentaires (0)