Boletín de seguridad de AMD AMD, febrero de 2024
Divulgación de vulnerabilidades:
Supermicro es consciente de las vulnerabilidades de los procesadores AMD . Este problema afecta a los procesadores AMD EPYC™ 1st Gen, AMD EPYC™ 2nd Gen, AMD EPYC™ 3rd Gen y 4th Gen.
Hallazgos:
| CVE | Puntuación CVSS | Descripción de la CVE |
|---|---|---|
| CVE-2023-20576 | Alta | Una verificación insuficiente de la autenticidad de los datos en AGESATM puede permitir a un atacante actualizar los datos de la ROM SPI, lo que podría provocar una denegación de servicio o una escalada de privilegios. |
| CVE-2023-20577 | Alta | Un desbordamiento de heap en el módulo SMM puede permitir a un atacante con acceso a una segunda vulnerabilidad que permite escribir en la flash SPI, lo que podría dar lugar a la ejecución de código arbitrario. |
| CVE-2023-20579 | Alta | Un control de acceso inadecuado en la función de protección AMD SPI puede permitir a un usuario con acceso privilegiado Ring0 (modo kernel) eludir las protecciones, lo que podría provocar una pérdida de integridad y disponibilidad. |
| CVE-2023-20587 | Alta | Un control de acceso inadecuado en el modo de gestión del sistema (SMM) puede permitir a un atacante el acceso a la flash SPI, lo que podría conducir a la ejecución de código arbitrario. |
Productos afectados:
BIOS Supermicro en las placas base H11, H12 y H13 seleccionadas
| Generación de placas base AMD | Versión de la BIOS con la corrección |
|---|---|
| H11 - Nápoles | v 2.8 |
| H11 - Roma | v 1.4 |
| H12 - Roma/Milán | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| H13DSG-O-CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| H13DSG-O-CPU-D | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
Remediación:
- Todas las SKU de placas base Supermicro afectadas requerirán una actualización de la BIOS para mitigar esta posible vulnerabilidad.
- Se ha creado un firmware de BIOS actualizado para mitigar esta vulnerabilidad potencial. Supermicro está actualmente probando y validando los productos afectados. Por favor, consulte las notas de la versión para la resolución.