AMD セキュリティ情報AMD、2024年12月
脆弱性の開示
Supermicro は、SPD (Serial Presence Detect) メタデータを変更することで、接続されているメモリモジュールが実際よりも大きく見えるようになり、メモリアドレスのエイリアシングが発生する可能性があるというセキュリティ上の問題を認識しています。この問題は、AMD EPYC™ 第 3 世代および第 4 世代プロセッサに影響します。
CVE:
- CVE-2024-21944
- 深刻度ミディアム
調査結果
このセキュリティ脆弱性は、Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) の機能の完全性を損ないます。攻撃者は、SPD(Serial Presence Detect)メタデータを変更することで、メモリモジュールのサイズを実際よりも大きく見せることができます。メモリモジュールの報告サイズを 2 倍にすることで、ホストから見た 2 つの異なるシステム物理アドレスが、同じ DRAM ロケーションにエイリアスされる可能性があります。これにより、攻撃者は、SEV-SNP による保護をバイパスして、システム・メモリを上書きし、破壊することができる可能性があります。研究者らは、デュアル・インライン・メモリ・モジュール(DIMM)への物理的なアクセスを必要とするこの攻撃を悪用する方法を実証していますが、DIMMがSPDをロックしていない場合には、物理的なアクセスがなくても攻撃を実行できると考えています。
影響を受ける製品
サーバーH12およびH13マザーボードのSupermicro BIOS。
| AMD マザーボード世代 | 修正されたBIOSバージョン |
|---|---|
| H12 - ミラノ | v 3.0 |
| H13 - ジェノバ | v 3.1 |
| H13VW-NT - シエナ | v 1.3 |
修復:
- 影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BIOS の更新が必要になります。
- この潜在的な脆弱性を軽減するために、更新された BIOS ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法についてはリリースノートをご確認ください。