ipmi v2.0 password hash disclosureの対処法

セキュリティの警告として,ipmi v2.0 password hash disclosureというメッセージに遭遇する場合があります。

とりわけ,Dell iDRACやHP iLOなどに反応して生じる可能性があるようです。

では,ipmi v2.0 password hash disclosureとはどのようなリスクがあるのでしょうか。どうやって解消したらよいのでしょうか。

IPMI v2.0が抱えている脆弱性

リモートホストにおいてIPMI v2.0が有効化されている場合,パスワード情報が漏洩してしまうリスクがあります。

IPMI(Intelligent Platform Management Interface)とは,Intel/HP/Dellなどが中心となって作られた,システム管理のためのインターフェース規格です。

主に,リモートからの電源管理や,ハードウェア情報の確認を行うことができます。

RMCP+ (Remote Management Control Protocol)と呼ばれる拡張されたパケットフォーマットに内在する脆弱性を突いたものです。

それで,リモートからHMAC (Hash-based Message Authentication Code)経由で,RAKP(RMCP+ Authenticated Key-Exchange Protocol)メッセージからBMC(Baseboard Management Controller)に対するレスポンスを読み取られることで,ユーザーアカウントのパスワードハッシュ情報が漏洩してしまう可能性があります。

IPMIの脆弱性に対する解決策

この脆弱性に対するセキュリティパッチはありません。

それで,IPMIが有効になっているようであれば,無効化する必要があります。

HP iLOであれば,Administration -> Access Settings -> IPMI/DCMI over LAN AccessをDisableにします。

IPMI/DCMI over LAN AccessをDisableにする

IPMI/DCMI over LAN AccessをDisableにする

以上,ipmi v2.0 password hash disclosureという警告への対処法でした。

コメント