AMD安全公告 AMD-SB-3007,2024年2月
漏洞披露:
Supermicro 已知悉 SEV-SNP 固件漏洞。此问题影响 AMD EPYC™ 第三代和第四代处理器。
调查结果
| CVE | CVSS评分 | CVE描述 |
|---|---|---|
| CVE-2023-31346 | 中型 | SEV固件中内存初始化失败可能使特权攻击者访问其他客户机的过期数据。 |
| CVE-2023-31347 | 低 | 由于Secure_TSC中的代码漏洞,当安全TSC功能启用时,SEV固件可能允许具有高权限的攻击者使宾客系统观察到错误的TSC值,这可能导致宾客系统完整性丧失。 |
受影响的产品:
Supermicro BIOS 在 H12 和部分 H13 主板中。
| AMD 主板世代 | 修复后的 BIOS 版本 |
|---|---|
| H12 – 米兰 | v 2.8 |
| H13SSL-N/NC | v 1.8 |
| H13SSW | v 1.8 |
| H13SST-G/GC | v 1.8 |
| H13SSF | v 1.8 |
| H13SSH | v 1.8 |
| H13DSH | v 1.8 |
| H13DSG-O-CPU | v 1.8 |
| H13DSG-O-CPU-D | v 1.8 |
| H13SVW(锡耶纳) | v 1.2 |
补救措施:
- 所有受影响的 Supermicro 主板 SKU 都将需要进行 BIOS 更新,以缓解此潜在漏洞。
- 已创建更新的 BIOS 固件以缓解此潜在漏洞。Supermicro 目前正在测试和验证受影响的产品。请查阅发行说明以获取解决方案。