Vulnerabilité des SoC ASPEED : GIGABYTE débute le colmatage de son matos serveur

Avis aux amateurs et utilisateurs de matériels GIGABYTE intégrant un SoC ASPEED AST2400 ou AST2500, le constructeur débutera prochainement la distribution de BIOS appliquant un patch de sécurité afin de colmater la vulnérabilité CVE-2019-6260. Cette dernière a été découverte un peu plus tôt en janvier et affecte les SoC ASPEED mentionnés ci-dessus. Selon la NVD (National Vulnerability Database), le matériel et logiciel des SoC apportant les fonctionnalités BMC (Board Management Controller) utilisent des ponts de bus "hautes-performances avancés", qui peuvent autoriser un accès en lecture et écriture arbitraire à l'espace d'adressage physique du contrôleur BMC à partir de l'hôte. Le CVSS v2.0 (Common Vulnerability Scoring System) attribue un score de 7,5 - élevé - en matière de sévérité et une note exploitabilité de 10, et selon les  critères du CVSS 3.0 ont été obtenu respectivement des scores de 9,8 - critique - et 3,9. Plus de détails sont disponibles ici.

Autrement dit, si vous exploitez une plateforme serveur GIGABYTE équipée avec l'un des deux SoC, il serait donc bien avisé de mettre à jour le BIOS de la carte mère. Toutefois, la distribution des BIOS correctifs se fera progressivement, à commencer à partir du 29 mars pour les plateformes Intel Xeon E-2100. Ensuite, le 2 avril ça sera au tour de la 2e génération Intel Xeon Scalable de recevoir sa piqûre, le 5 avril pour les Xeon D et le 12 avril pour les EPYC Naples d'AMD. Pour le reste, Intel Xeon Scalable Skylake, Cavium ThunderX2 ou autres, il faudra certainement encore patienter un peu, les correctifs n'étant pas encore planifiés.