AMD セキュリティ情報AMD、2024 年 2 月
脆弱性の開示
Supermicro 、AMD プロセッサの脆弱性について認識しています。この問題は、AMD EPYC™ 第1世代、AMD EPYC™ 第2世代、AMD EPYC™ 第3世代、および第4世代プロセッサに影響します。
調査結果
| CVE | CVSSスコア | CVEの説明 |
|---|---|---|
| CVE-2023-20576 | 高い | AGESATM におけるデータの真正性の検証が不十分なため、攻撃者が SPI ROM のデータを更新できる可能性があり、サービス拒否や権限の昇格につながる可能性があります。 |
| CVE-2023-20577 | 高い | SMM モジュールにおけるヒープオーバーフローにより、攻撃者が SPI フラッシュへの書き込みを可能にする第二の脆弱性にアクセスし、任意のコードを実行される可能性があります。 |
| CVE-2023-20579 | 高い | AMD SPI 保護機能の不適切なアクセス制御により、Ring0 (カーネルモード) 特権アクセス権を持つユーザーが保護をバイパスし、完全性と可用性が失われる可能性があります。 |
| CVE-2023-20587 | 高い | システム管理モード (SMM) における不適切なアクセス制御により、攻撃者が SPI フラッシュにアクセスし、任意のコードを実行される可能性があります。 |
影響を受ける製品
H11、H12、および一部のH13マザーボードのSupermicro BIOS
| AMD マザーボード世代 | 修正されたBIOSバージョン |
|---|---|
| H11 - ナポリ | v 2.8 |
| H11 - ローマ | v 1.4 |
| H12 - ローマ/ミラノ | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| H13DSG-O-CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| H13DSG-O-CPU-D | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
修復:
- 影響を受けるすべてのSupermicro マザーボード SKU では、この潜在的な脆弱性を軽減するために BIOS の更新が必要になります。
- この潜在的な脆弱性を軽減するために、更新された BIOS ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法についてはリリースノートをご確認ください。