AMD 情報AMD、2025年2月
脆弱性の開示
Supermicro 、Quarkslabから報告された2つのセキュリティ脆弱性をSupermicro 、現在対応を進めております。これらの脆弱性は、複数のAMD サポートされているAmdPspP2CmboxV2およびAmdCpmDisplayFeatureSMM UEFIモジュールに存在し、攻撃者がSMM(システム管理モード)内でコードを実行できる可能性があります。
CVE:
- CVE-2024-0179
- 深刻度:高
- CVE-2024-21925
- 深刻度:高
調査結果
これらの脆弱性により、リング0の攻撃者が権限を昇格させ、SMM内で任意のコードが実行される可能性があります。AMD 、これらの脆弱性に対処するための緩和策を公開するAMD 。
- CVE-2024-0179
- サテライト管理コントローラー(SMC)における不適切な入力検証により、権限を持つ攻撃者がRedfish® 特定の特殊文字を使用することが可能となり、OpenBMCなどのサービスプロセスがクラッシュおよびリセットされる恐れがあります。これにより、サービス拒否(DoS)攻撃が発生する可能性があります。
- CVE-2024-21925:
- AmdCpmDisplayFeatureSMMドライバー内のSMMコールアウトの脆弱性により、ローカル認証された攻撃者がSMRAMを上書きし、結果として任意のコード実行につながる可能性があります。
- CVE-2024-21925:
- AmdPspP2CmboxV2ドライバー内の不適切な入力検証により、特権を持つ攻撃者がSMRAMを上書きし、任意のコード実行につながる可能性があります。
影響を受ける製品
サーバー
| AMD | 修正されたBIOSバージョン |
|---|---|
| H11 ナポリ/ローマ | v 3.1 |
| H12 ローマ/ミラノ | v 3.1 |
| H13 ジェノヴァ | v 3.1 |
| H13 シエナ | v 1.3 |
| H14 トリノ | v 1.1 |
| H13 (H13DSG-OM) | v 3.2 |
| AMD | GPUファームウェアバンドル/BKC |
|---|---|
| H13 (H13DSG-OM) | v 24.12 |
クライアント
| AMD | 修正されたBIOSバージョン |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | 影響なし |
| H13SRD-F | 影響なし |
| H13SRE-F | 影響なし |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
修復:
- この潜在的な脆弱性を軽減するためには、影響を受けるSupermicro SKUにおいて、BIOSの更新が必要となります。
- この潜在的な脆弱性を軽減するため、BIOSファームウェアの更新版が作成されました。Supermicro 現在、影響を受ける製品のテストおよび検証Supermicro 。解決策については、リリースノートをご確認ください。