Boletín AMD AMD, febrero de 2025
Divulgación de vulnerabilidades:
Supermicro constancia de dos vulnerabilidades de seguridad señaladas por Quarkslab en los módulos UEFI «AmdPspP2CmboxV2» y «AmdCpmDisplayFeatureSMM», compatibles con varios AMD , y está trabajando para solucionarlas; dichas vulnerabilidades podrían permitir a los atacantes ejecutar código dentro del SMM (modo de gestión del sistema).
CVE:
- CVE-2024-0179
- Gravedad: Alta
- CVE-2024-21925
- Gravedad: Alta
Hallazgos:
Estas vulnerabilidades pueden permitir que un atacante de nivel 0 eleve sus privilegios, lo que podría dar lugar a la ejecución de código arbitrario dentro de SMM. AMD publicar medidas de mitigación para hacer frente a estas vulnerabilidades.
- CVE-2024-0179:
- La validación inadecuada de entradas en Satellite Management Controller (SMC) puede permitir a un atacante con privilegios utilizar determinados caracteres especiales en comandos Redfish® manipulados, lo que provocaría el bloqueo y restablecimiento de procesos de servicio como OpenBMC, lo que podría dar lugar a una denegación de servicio.
- CVE-2024-21925:
- La vulnerabilidad de llamada SMM dentro del controlador AmdCpmDisplayFeatureSMM podría permitir a atacantes autenticados localmente sobrescribir la SMRAM, lo que podría resultar en la ejecución de código arbitrario.
- CVE-2024-21925:
- La validación de entrada incorrecta dentro del controlador AmdPspP2CmboxV2 podría permitir a un atacante privilegiado sobrescribir la SMRAM, lo que llevaría a la ejecución de código arbitrario.
Productos afectados:
Servidor:
| AMD | Versión de la BIOS con la corrección |
|---|---|
| H11 Nápoles/Roma | v 3.1 |
| H12 Roma/Milán | v 3.1 |
| H13 Génova | v 3.1 |
| H13 Siena | v 1.3 |
| H14 Turín | v 1.1 |
| H13 (H13DSG-OM) | v 3.2 |
| AMD | GPU Firmware Bundle/BKC |
|---|---|
| H13 (H13DSG-OM) | v 24.12 |
Cliente:
| AMD | Versión de la BIOS con la corrección |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | No afectado |
| H13SRD-F | No afectado |
| H13SRE-F | No afectado |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
Remediación:
- Todas las SKU de placas base Supermicro afectadas requerirán una actualización de BIOS para mitigar esta vulnerabilidad potencial.
- Se ha creado un firmware de BIOS actualizado para mitigar esta vulnerabilidad potencial. Supermicro está actualmente probando y validando los productos afectados. Consulte las Notas de la versión para la resolución.