AMD セキュリティ情報AMD、2024 年 5 月
脆弱性の開示
Supermicro 、サーバーおよびクライアントのデスクトップおよびモバイルAPU/CPUのAMD DXEドライバーにメモリリークの脆弱性があり、高度な特権を持つユーザーが機密情報を取得できる可能性があることを認識しています。この問題は、AMD EPYC™ 第3世代プロセッサーに影響します。
CVE:
- CVE-2023-20594
- 深刻度ミディアム
- CVE-2023-20597
- 深刻度ミディアム
調査結果
サーバおよびクライアントのデスクトップおよびモバイル APU/CPU のAMD DXE ドライバにメモリリークの脆弱性があり、高度な特権を持つユーザが機密情報を取得できる可能性があります。これらの潜在的な脆弱性は、ドライブ実行環境 (DXE) ドライバに存在し、攻撃者がスタックメモリまたはグローバルメモリを NVRAM 変数にダンプできる可能性があります。これにより、サービス拒否や情報漏洩が発生する可能性があります。
影響を受ける製品
サーバーH12マザーボード、H13およびM12クライアントボードのSupermicro BIOS。
| AMD マザーボード世代 | 修正されたBIOSバージョン |
|---|---|
| H12 - ミラノ | v 2.8 |
| AMD クライアントマザーボード | 修正されたBIOSバージョン |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
修復:
- 影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BIOS の更新が必要になります。
- この潜在的な脆弱性を軽減するために、更新された BIOS ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法についてはリリースノートをご確認ください。