Offenlegung von Schwachstellen:
Supermicro ist sich der Sicherheitslücken bei der transienten Ausführung in einigen AMD bewusst. AMD entdeckte mehrere Seitenkanal-Angriffe bei der Untersuchung eines Microsoft®-Berichts mit dem Titel "Enter, Exit, Page Fault, Leak: Testing Isolation Boundaries for Microarchitectural Leaks".
CVE:
- CVE-2024-36350
- Schweregrad: Mittel
- CVE-2024-36357
- Schweregrad: Mittel
- CVE-2024-36348
- Schweregrad: Niedrig
- CVE-2024-36349
- Schweregrad: Niedrig
Feststellungen:
AMD hat mehrere Arten von domänenübergreifenden Informationslecks entdeckt und einen neuen spekulativen Seitenkanal entdeckt, der AMD betrifft und als Transient Scheduler Attacks (TSA) bezeichnet wird. Dabei handelt es sich um spekulative Seitenkanalangriffe, die sich auf das Ausführungs-Timing von Anweisungen unter bestimmten mikroarchitektonischen Bedingungen beziehen. In einigen Fällen ist ein Angreifer in der Lage, diese Zeitinformationen zu nutzen, um Daten aus anderen Kontexten abzuleiten, was zu einem Informationsleck führen kann.
Betroffene Produkte:
| AMD Motherboard-Generation | BIOS-Version mit Fix |
|---|---|
| H12 - H12SSW-AN6 - EPYC™ 7002/7003 Serie | v 3.3 |
| H12 - H12SSW-iNR/NTR - EPYC 7002/7003-Serie | v 3.3 |
| H12 - H12SSW-iNL/NTL - Baureihe EPYC 7002/7003 | v 3.3 |
| H12 - H12DSG-O-CPU - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DST-B - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12SST-PS - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12SSW-iN/NT - EPYC 7002/7003-Serie | v 3.3 |
| H12 - BH12SSi-M25 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DSU-iN - EPYC 7002/7003 Serie | v 3.3 |
| H12 - H12SSFF-AN6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12SSL-i/C/CT/NT - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DSi-N6/NT6 - EPYC 7002/7003-Serie | v 3.3 |
| H12 - H12SSFR-AN6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DSG-Q-CPU6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12SSG-AN6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DGQ-NT6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12SSG-ANP6 - EPYC 7002/7003-Serie | v 3.3 |
| H12 - H12DGO-6 - Serie EPYC 7002/7003 | v 3.3 |
| H12 - H12DSU-iNR - EPYC 7002/7003 Serie | v 3.3 |
| H13 - H13SSW - EPYC 9004/9005-Serie | v 3.5 |
| H13 - H13DSH - EPYC 9004/9005-Serie | v 3.5 |
| H13 - H13DSG-O-CPU - EPYC 9004/9005-Serie | v 3.5 |
| H13 - H13SST-G/GC - EPYC 9004/9005-Serie | v 3.1 |
| H13 - H13SSL-N/NC - EPYC 9004/9005-Serie | v 3.4 |
| H13 - H13SSH - EPYC 9004/9005-Serie | v 3.4 |
| H13 - H13DSG-O-CPU-D - Serie EPYC 9004 | v 3.4 |
| H13 - H13SSF - EPYC 9004/9005-Serie | v 3.5 |
| H13 - H13SVW - EPYC 9004 | v 1.3 |
| H13 - H13DSG-OM - EPYC 9004/9005-Serie | v 3.5 |
| H14 - H14DSH - EPYC 9004/9005-Serie | v 1.5 |
| H14 - H14SST - EPYC 9004/9005-Serie | v 1.3 |
| H14 - H14DSG-OD - EPYC 9004/9005-Serie | v 1.4a |
Abhilfe:
- Alle betroffenen Supermicro benötigen ein BIOS-Update, um diese potenzielle Sicherheitslücke zu schließen.
- Es wurde eine aktualisierte BIOS-Firmware erstellt, um diese potenzielle Schwachstelle zu entschärfen. Supermicro testet und validiert derzeit die betroffenen Produkte. Bitte prüfen Sie die Release Notes für die Lösung.