AMD 情報AMD、2024年12月
脆弱性の開示
Supermicro 、シリアル・プレゼンス・ディテクト(SPD)メタデータを改変することで、接続されたメモリー 実際よりも大きく見せかけ、その結果、メモリー が発生する可能性があるというセキュリティ上の問題をSupermicro 。この問題は、AMD EPYC™ 第4世代プロセッサに影響を及ぼします。
CVE:
- CVE-2024-21944
- 深刻度ミディアム
調査結果
このセキュリティの脆弱性は、Secure Encrypted Virtualization Secure Nested Paging(SEV-SNP)の機能の完全性を損なうものです。攻撃者は、シリアル・プレゼンス・ディテクト(SPD)メタデータを改ざんし、メモリー 実際よりも大きく見せかける可能性があります。メモリー 報告される容量を2倍にすることで、ホストから見て異なる2つのシステム物理アドレスが、同じ基盤となるDRAMの領域にエイリアスされる可能性があります。 これにより、攻撃者はメモリー書きして破損させ、SEV-SNPが提供する保護機能を回避できる可能性があります。研究者らは、メモリー (DIMM)への物理的アクセスを必要とするこの攻撃の悪用手法を実証していますが、DIMMがSPDをロックしていない場合、物理的アクセスなしでも攻撃を実行できると考えています。
影響を受ける製品
サーバー用H1H12 H13 Supermicro 。
| AMD の世代 | 修正されたBIOSバージョン |
|---|---|
| H12 ミラノ | v 3.0 |
| H13 ジェノヴァ | v 3.1 |
| H13VW-NT - シエナ | v 1.3 |
修復:
- この潜在的な脆弱性を軽減するためには、影響を受けるSupermicro SKUにおいて、BIOSの更新が必要となります。
- この潜在的な脆弱性を軽減するため、BIOSファームウェアの更新版が作成されました。Supermicro 現在、影響を受ける製品のテストおよび検証Supermicro 。解決策については、リリースノートをご確認ください。