Lỗ hổng nghiêm trọng ‘Pantsdown’ BMC ảnh hưởng đến máy chủ QCT sử dụng trong Data Centers (CVE-2019-6260). Đã có bản vá.

  • Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Quanta Cloud Technology (QCT) được xác định là dễ bị tấn công bởi lỗ hổng nghiêm trọng trong Baseboard Management Controller (BMC).
  • Hacker khi tấn công trên máy chủ BCT có lỗ hổng có thể ‘nhảy’ đến máy chủ BMC và di chuyển sang vùng mạng quản lý máy chủ.
  • Được định danh CVE-2019-6260 (CVSS: 9,8), lỗ hổng được công bố vào tháng 1/2019, liên quan đến việc đọc ghi tuỳ ý vào không gian địa chỉ vật lý của BMC, dẫn đến thực thi mã tuỳ ý.
  • Khai thác thành công lỗ hổng có thể cho phép hacker toàn quyền kiểm soát máy chủ, ghi đè phần sụn (firmware) BMC bằng mã độc, triển khai mã độc lâu dài, lấy cắp dữ liệu và thậm chí làm tê liệt (brick) hệ thống.
  • Các máy chủ QCT bị ảnh hưởng bao gồm D52BQ-2U, D52BQ-2U 3UPI, D52BV-2U, đi kèm với phiên bản BMC 4.55.00. Một bản vá đã được cung cấp riêng cho khách hàng vào ngày 15/04.

Chi tiết xem thêm tại Link

Các tin khác

SonicWall phát hành các bản vá cho lỗ hổng bảo mật ảnh hưởng đến thiết bị SSLVPN SMA1000 (CVE-2022-22282, CVE-2022-1702, CVE-2022-1701). Đã có bản vá.
SonicWall phát hành các bản vá cho lỗ hổng bảo mật ảnh hưởng đến thiết bị SSLVPN SMA1000 (CVE-2022-22282, CVE-2022-1702, CVE-2022-1701). Đã có bản vá.
SonicWall Releases Patches for New Flaws Affecting SSLVPN SMA1000 Devices
Chi tiết
Microsoft khai tử IE
Microsoft khai tử IE
Sau 25 năm tồn tại, Microsoft cuối cùng cũng quyết định khai tử trình duyệt Internet Explorer vào ngày 17/8/2021.
Chi tiết
Lỗi truy cập không cần chìa của xe hơi Honda (CVE-2022-27254) có thể cho phép kẻ trộm mở khóa và khởi động xe từ xa. Hãng tuyên bố không có bản vá.
Lỗi truy cập không cần chìa của xe hơi Honda (CVE-2022-27254) có thể cho phép kẻ trộm mở khóa và khởi động xe từ xa. Hãng tuyên bố không có bản vá.
Honda's Keyless Access Bug Could Let Thieves Remotely Unlock and Start Vehicles
Chi tiết