AMD AMD, Februar 2025

Offenlegung von Schwachstellen:

Supermicro zweier Sicherheitslücken bewusst, die von Quarkslab in den UEFI-Modulen AmdPspP2CmboxV2 und AmdCpmDisplayFeatureSMM gemeldet wurden, die von mehreren AMD unterstützt werden und es Angreifern ermöglichen könnten, Code innerhalb des SMM (System Management Mode) auszuführen. Supermicro arbeitet derzeit an der Behebung dieser Sicherheitslücken.

CVE:

0179
- Schweregrad: Hoch
21925
- Schweregrad: Hoch

Feststellungen:

Diese Schwachstellen können es einem Ring-0-Angreifer ermöglichen, seine Privilegien zu erweitern, was zur Ausführung von beliebigem Code innerhalb von SMM führen kann. AMD plant die Veröffentlichung von Abhilfemaßnahmen, um diese Schwachstellen zu beheben.

CVE-2024-0179:: Eine unsachgemäße Eingabevalidierung im Satellite Management Controller (SMC) kann es einem Angreifer mit entsprechenden Rechten ermöglichen, bestimmte Sonderzeichen in manipulierten Redfish®-API-Befehlen zu verwenden, wodurch Dienstprozesse wie OpenBMC zum Absturz gebracht und zurückgesetzt werden können, was zu einem Denial-of-Service führen kann.
CVE-2024-21925:: Eine SMM-Callout-Schwachstelle im AmdCpmDisplayFeatureSMM-Treiber könnte lokal authentifizierten Angreifern erlauben, SMRAM zu überschreiben, was möglicherweise zur Ausführung von beliebigem Code führen könnte.
CVE-2024-21925:: Unsaubere Eingabevalidierung innerhalb des AmdPspP2CmboxV2-Treibers könnte einem privilegierten Angreifer erlauben, SMRAM zu überschreiben, was zur Ausführung von beliebigem Code führen könnte.

Betroffene Produkte:

Server:

AMD	BIOS-Version mit der Korrektur
H11 - Neapel/Rom	v 3.1
H12 - Rom/Mailand	v 3.1
H13 - Genua	v 3.1
H13 - Siena	v 1.3
H14 - Turin	v 1.1
H13 MI300X (H13DSG-OM)	v 3.2

AMD	GPU-Firmware-Bundle/BKC
H13 AS-8125GS-TNMR2 (H13DSG-OM)	v 24.12

Kunde:

AMD	BIOS-Version mit der Korrektur
M11SDV-4/8C(T)-LN4F	v 1.5
M12SWA-TF	v 2.3
H13SAE-MF	Nicht betroffen
H13SRD-F	Nicht betroffen
H13SRE-F	Nicht betroffen
H13SRH	V 1.6
H13SRA-F	v 1.6
H13SRA-TF	v 1.6

Abhilfe:

Alle betroffenen Supermicro SKUs erfordern ein BIOS-Update, um diese potenzielle Sicherheitslücke zu schließen.
Es wurde eine aktualisierte BIOS-Firmware entwickelt, um diese potenzielle Sicherheitslücke zu schließen. Supermicro und validiert derzeit die betroffenen Produkte. Die Lösung finden Sie in den Versionshinweisen.

Ressourcen:

AMD AMD
- 0179
- 21925

Rackmount-Server

1U-Doppelprozessor

2U-Doppelprozessor

Einzelner Prozessor

Mehrprozessor

Produkt-Familien

GPU-Server

8U/10U GPU-Linien

4U/5U GPU-Linien

2U-GPU-Linien

1U-GPU-Linien

Zwillingsserver

FlexTwin™.

BigTwin®.

GrandTwin®.

TwinPro®.

FatTwin®.

Blade-Server

SuperBlade®

MicroBlade®

MicroCloud

Speicher-Server

Alle Speichersysteme

All-Flash NVMe

Top-Loading Storage

JBOF

Petascale Grace-Speicher

Unternehmensoptimierter Speicher

JBOD-Storage-Gehäuse

Hauptplatinen

Server-Boards

Arbeitsplatz-Boards

Eingebettete / IoT-Karten

Desktop-/Gaming-Boards

Motherboard-Matrix

Globale SKUs

Fahrgestell

1U-Gehäuse

2U-Gehäuse

3U-Gehäuse

4U / Tower-Gehäuse

Mid-/Mini-Tower

Eingebettetes / IoT-Gehäuse

Mobile Racks / Drive Kits

JBOD-Storage-Gehäuse

Globale SKUs

SuperRack®.

Entwicklung von Rechenzentrumslösungen (DCSE)

Rack-Integrationsdienst

Zubehör

Kabel-Matrix

Riser-Karten-Matrix

Speicher-AOC-Matrix

Stromversorgungsmatrix

Kühlkörper-Matrix

System-Lüfter-Matrix

Mobile Racks / Drive Kits

Frontseitige Gehäuseabdeckungen

Speicherung, E/A, Sicherheit

Edge KI IoT-Systeme

Kompakte Kantensysteme

Kompakte Edge-Server

Rackmontierte Edge-Server

Eingebettete Komponenten

Eingebettete Motherboards

Eingebettetes Fahrgestell

Schalter

Adapter

SuperWorkstations

Flüssigkeitsgekühlte KI

Einzelprozessor

Dual-Prozessor

Supero™ Spiellösungen

KI

Data Center Building Block Solutions® (DCBBS)

KI

Rand KI

KI Lagerung

NVIDIA-Lösungen

AMD Lösungen