Supermicro ist sich des Sicherheitsproblems bewusst, bei dem ein internes Sicherheitsaudit eine potenzielle Schwachstelle aufgedeckt hat, die es einem bösartigen Hypervisor ermöglichen könnte, die IOMMU anzuweisen, in den Gastspeicher von Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) zu schreiben. AMD hat Gegenmaßnahmen für diese Schwachstelle veröffentlicht. Diese Schwachstelle betrifft das BIOS in Supermicro H12-, H13- und H14-Produkten.
CVE:
- CVE-2023-20585
- Schweregrad: Mittel
Feststellungen:
Unzureichende Überprüfungen des RMP beim Zugriff auf den Host-Puffer in IOMMU können es einem Angreifer mit entsprechenden Berechtigungen und einem kompromittierten Hypervisor ermöglichen, ohne RMP-Prüfungen einen Bereichsüberschreitungsfehler auszulösen, was zu einem potenziellen Verlust der Vertraulichkeit und Integrität des Gastes führen kann.
Betroffene Produkte:
Supermicro BIOS auf den H12-, H13- und H14-Server-Hauptplatinen.
| AMD Motherboard Generation | BIOS-Version mit Fix |
|---|---|
| H12 - H12SSW-AN6 - EPYC™ 7002/7003 Serie | v 3.4 |
| H12 –H12SSW-iNR/NTR – EPYC™ 7002/7003-Serie | v 3.5 |
| H12 –H12SSW-iNL/NTL – EPYC™ 7002/7003-Serie | v 3.5 |
| H12 - H12DSG-O-CPU - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12DST-B - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12SST-PS - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 –H12SSW-iN/NT – EPYC™ 7002/7003-Serie | v 3.5 |
| H12 - BH12SSi-M25 - Serie EPYC™ 7002/7003 | v 3.5 |
| H12 - H12DSU-iN - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12SSFF-AN6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 –H12SSL-i/C/CT/NT – EPYC™ 7002/7003-Serie | v 3.5 |
| H12 –H12DSi-N6/NT6 – EPYC™ 7002/7003-Serie | v 3.5 |
| H12 - H12SSFR-AN6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12DSG-Q-CPU6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12SSG-AN6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12DGQ-NT6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12SSG-ANP6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12DGO-6 - EPYC™ 7002/7003 Serie | v 3.5 |
| H12 - H12DSU-iNR - EPYC™ 7002/7003 Serie | v 3.5 |
| H13 –H13SVW-N/NT – EPYC™ 8004-Serie | v 1.5 |
| H13 - H13SSW - EPYC™ 9004/9005 Serie | v 3.7 |
| H13 - H13DSH - EPYC™ 9004/9005 Serie | v 3.7a |
| H13 - H13DSG-O-CPU - EPYC™ 9004/9005-Serie | v 3.8 |
| H13 - H13SST-G/GC - EPYC™ 9004/9005 Serie | v 3.5 |
| H13 – H13SSL-N/NT – EPYC™ 9004/9005-Serie | v 3.7 |
| H13 - H13SSH - EPYC™ 9004/9005 Serie | v 3.7b |
| H13 - H13DSG-O-CPU-D - EPYC™ 9004-Serie | v 3.7a |
| H13 - H13SSF - EPYC™ 9004/9005 Serie | v 3.7a |
| H13 - H13DSG-OM - EPYC™ 9004/9005 Serie | v 3.7a |
| H14 - H14DSH - EPYC™ 9004/9005 Serie | v 1.7a |
| H14 – H14SST-G – EPYC™ 9004/9005-Serie | v 1.7a |
| H14 - H14DSG-OD - EPYC™ 9004/9005 Serie | v 1.7a |
| H14 – H14SHM – EPYC™ 9004/9005-Serie | v 1.7 |
| H14 – H14DSG-O-CPU – EPYC™ 9004/9005-Serie | v 1.7a |
| H14 –H14SSL-N/NT – EPYC™ 9004/9005-Serie | v 1.7 |
| H14 – H14DSG-OM – EPYC™ 9004/9005-Serie | v 1.1b |
Abhilfe:
- Alle betroffenen Supermicro Mainboard-SKUs erfordern ein BIOS-Update, um diese potenzielle Schwachstelle zu mindern.
- Eine aktualisierte BIOS-Firmware wurde erstellt, um diese potenzielle Schwachstelle zu mindern. Supermicro testet und validiert derzeit betroffene Produkte. Bitte überprüfen Sie die Release Notes für die Lösung.