AMDセキュリティ情報 AMD-SB-4007、2024年5月
脆弱性の開示
Supermicroは、サーバーおよびクライアントのデスクトップおよびモバイルAPU/CPUにおけるAMD DXEドライバーのメモリリークの脆弱性により、高い権限を持つユーザーが機密情報を取得する可能性があることを認識しております。この問題は、AMD EPYC™ 第3世代プロセッサーに影響を与えます。
CVE:
- 20594
- 深刻度ミディアム
- 20597
- 深刻度ミディアム
調査結果
サーバーおよびクライアントのデスクトップおよびモバイルAPU/CPUにおけるAMD DXEドライバーのメモリリークの脆弱性により、高い権限を持つユーザーが機密情報を取得する可能性があります。Drive Execution Environment (DXE) ドライバーにおけるこれらの潜在的な脆弱性は、攻撃者がスタックメモリまたはグローバルメモリをNVRAM変数にダンプすることを可能にする可能性があり、これによりサービス拒否または情報漏洩が発生する可能性があります。
影響を受ける製品
サーバーH12マザーボード、H13およびM12クライアントボードにおけるSupermicro BIOS。
| AMDマザーボード世代 | 修正されたBIOSバージョン |
|---|---|
| H12 - ミラノ | v 2.8 |
| AMDクライアントマザーボード | 修正されたBIOSバージョン |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
修復:
- 影響を受けるすべてのSupermicroマザーボードSKUは、この潜在的な脆弱性を軽減するためにBIOSアップデートが必要となります。
- この潜在的な脆弱性を軽減するために、更新されたBIOSファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。