Bulletin de sécurité AMD, février 2025
Divulgation de la vulnérabilité :
Supermicro a connaissance de deux failles de sécurité signalées par Quarkslab dans les modules UEFI AmdPspP2CmboxV2 et AmdCpmDisplayFeatureSMM pris en charge sur plusieurs processeurs AMD , qui pourraient permettre à des attaquants d'exécuter du code dans le mode SMM (System Management Mode), et les corrige.
CVE :
- 0179
- Gravité: élevée
- 21925
- Gravité: élevée
Les résultats :
Ces vulnérabilités peuvent permettre à un attaquant de type ring 0 d'élever ses privilèges, ce qui peut entraîner l'exécution d'un code arbitraire au sein de SMM. AMD prévoit de publier des mesures d'atténuation pour remédier à ces vulnérabilités.
- CVE-2024-0179 :
- Une mauvaise validation des entrées dans le Satellite Management Controller (SMC) peut permettre à un attaquant disposant de privilèges d'utiliser certains caractères spéciaux dans des commandes API Redfish® manipulées, provoquant le plantage et la réinitialisation de processus de service comme OpenBMC, ce qui peut entraîner un déni de service.
- CVE-2024-21925 :
- La vulnérabilité de l'appel SMM dans le pilote AmdCpmDisplayFeatureSMM pourrait permettre à des attaquants authentifiés localement d'écraser la SMRAM, ce qui pourrait entraîner une exécution de code arbitraire.
- CVE-2024-21925 :
- Une mauvaise validation des entrées dans le pilote AmdPspP2CmboxV2 peut permettre à un attaquant privilégié d'écraser la SMRAM, conduisant à une exécution de code arbitraire.
Produits concernés :
Serveur :
| Carte mère AMD | Version du BIOS avec la correction |
|---|---|
| H11 - Naples/Rome | v 3.1 |
| H12 - Rome/Milan | v 3.1 |
| H13 - Gênes | v 3.1 |
| H13 - Sienne | v 1.3 |
| H14 - Turin | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| Serveur AMD | Offre groupée de microprogrammes pour le GPU/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
Client :
| Carte mère AMD | Version du BIOS avec la correction |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | Non affecté |
| H13SRD-F | Non affecté |
| H13SRE-F | Non affecté |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
Remédiation :
- Toutes les cartes mères Supermicro concernées devront faire l'objet d'une mise à jour du BIOS afin d'atténuer cette vulnérabilité potentielle.
- Une mise à jour du micrologiciel du BIOS a été créée pour atténuer cette vulnérabilité potentielle. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de mise à jour pour la résolution du problème.