AMD Sicherheitsbulletin AMD -SB-7009, Februar 2024
Offenlegung der Sicherheitslücke:
Supermicro ist sich dessen bewusst AMD Prozessor-Schwachstellen. Dieses Problem betrifft AMD EPYC™ 1. Generation AMD EPYC™ 2. Generation AMD EPYC™ Prozessoren der 3. und 4. Generation.
Ergebnisse:
| CVE | CVSS-Score | CVE-Beschreibung |
|---|---|---|
| CVE-2023-20576 | Hoch | Eine unzureichende Überprüfung der Datenauthentizität in AGESATM kann es einem Angreifer ermöglichen, SPI-ROM-Daten zu aktualisieren, was potenziell zu einem Denial-of-Service-Angriff oder einer Rechteausweitung führen kann. |
| CVE-2023-20577 | Hoch | Ein Heap-Überlauf im SMM-Modul könnte einem Angreifer mit Zugriff auf eine zweite Schwachstelle das Schreiben in den SPI-Flash ermöglichen, was potenziell zur Ausführung beliebigen Codes führen kann. |
| CVE-2023-20579 | Hoch | Unzureichende Zugangskontrolle im AMD Die SPI-Schutzfunktion kann einem Benutzer mit Ring0-privilegiertem Zugriff (Kernel-Modus) ermöglichen, Schutzmechanismen zu umgehen, was potenziell zu einem Verlust der Integrität und Verfügbarkeit führen kann. |
| CVE-2023-20587 | Hoch | Eine unzureichende Zugriffskontrolle im Systemverwaltungsmodus (SMM) kann einem Angreifer Zugriff auf den SPI-Flash-Speicher ermöglichen und potenziell zur Ausführung beliebigen Codes führen. |
Betroffene Produkte:
Supermicro BIOS im H11 , H12 und auswählen H13 Motherboards
| AMD Motherboard-Generation | BIOS-Version mit dem Fix |
|---|---|
| H11 Neapel | v 2.8 |
| H11 - Rom | v 1.4 |
| H12 – Rom/Mailand | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| H13DSG-O-CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| H13DSG-O-CPU-D | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
Abhilfe:
- Alle Betroffenen Supermicro Um diese potenzielle Sicherheitslücke zu beheben, ist für die verschiedenen Motherboard-SKUs ein BIOS-Update erforderlich.
- Um diese potenzielle Sicherheitslücke zu beheben, wurde eine aktualisierte BIOS-Firmware erstellt. Supermicro Die betroffenen Produkte werden derzeit getestet und validiert. Die Lösung finden Sie in den Versionshinweisen.