AMDセキュリティ速報 AMD-SB-7027、2025年2月
脆弱性の開示
Supermicroは、Quarkslabによって報告された、複数のAMDプロセッサーでサポートされているAmdPspP2CmboxV2およびAmdCpmDisplayFeatureSMM UEFIモジュール内の2つのセキュリティ脆弱性を認識しており、対応を進めています。これらの脆弱性により、攻撃者がSMM (System Management Mode) 内でコードを実行できる可能性があります。
CVE:
- 0179
- 深刻度:高
- 21925
- 深刻度:高
調査結果
これらの脆弱性により、リング0の攻撃者が特権を昇格させ、SMM内で任意のコード実行を引き起こす可能性があります。AMDはこれらの脆弱性に対処するための緩和策をリリースする予定です。
- CVE-2024-0179
- サテライト管理コントローラー(SMC)における不適切な入力検証により、権限を持つ攻撃者がRedfish® 特定の特殊文字を使用することが可能となり、OpenBMCなどのサービスプロセスがクラッシュおよびリセットされる恐れがあります。これにより、サービス拒否(DoS)攻撃が発生する可能性があります。
- CVE-2024-21925:
- AmdCpmDisplayFeatureSMMドライバー内のSMMコールアウトの脆弱性により、ローカル認証された攻撃者がSMRAMを上書きし、結果として任意のコード実行につながる可能性があります。
- CVE-2024-21925:
- AmdPspP2CmboxV2ドライバー内の不適切な入力検証により、特権を持つ攻撃者がSMRAMを上書きし、任意のコード実行につながる可能性があります。
影響を受ける製品
サーバー
| AMDマザーボード | 修正されたBIOSバージョン |
|---|---|
| H11 - ナポリ/ローマ | v 3.1 |
| H12 - ローマ/ミラノ | v 3.1 |
| H13 - ジェノバ | v 3.1 |
| H13 - シエナ | v 1.3 |
| H14 - トリノ | v 1.1 |
| H13 MI300X(H13DSG-OM) | v 3.2 |
| AMDサーバー | GPUファームウェアバンドル/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
クライアント
| AMDマザーボード | 修正されたBIOSバージョン |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | 影響なし |
| H13SRD-F | 影響なし |
| H13SRE-F | 影響なし |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
修復:
- 影響を受けるすべてのSupermicroマザーボードSKUは、この潜在的な脆弱性を軽減するためにBIOSアップデートが必要となります。
- この潜在的な脆弱性を軽減するために、更新されたBIOSファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。