AMD 安全公告 AMD-SB-4007,2024 年 5 月
漏洞披露:
Supermicro 已知悉 AMD DXE 驱动程序在服务器和客户端台式机及移动 APU/CPU 中存在的内存泄漏漏洞,该漏洞可能允许高权限用户获取敏感信息。此问题影响 AMD EPYC™ 第三代处理器。
CVE:
- CVE-2023-20594
- 严重程度中度
- CVE-2023-20597
- 严重程度中度
调查结果
AMD DXE 驱动程序在服务器和客户端台式机及移动 APU/CPU 中存在的内存泄漏漏洞,可能允许高权限用户获取敏感信息。驱动执行环境 (DXE) 驱动程序中的这些潜在漏洞可能允许攻击者将堆栈内存或全局内存转储到 NVRAM 变量中。这可能导致拒绝服务或信息泄露。
受影响的产品:
Supermicro BIOS 在服务器 H12 主板以及 H13 和 M12 客户端主板中。
| AMD 主板世代 | 修复后的 BIOS 版本 |
|---|---|
| H12 - 米兰 | v 2.8 |
| AMD 客户端主板 | 修复后的 BIOS 版本 |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
补救措施:
- 所有受影响的 Supermicro 主板 SKU 都将需要进行 BIOS 更新,以缓解此潜在漏洞。
- 已创建更新的 BIOS 固件以缓解此潜在漏洞。Supermicro 目前正在测试和验证受影响的产品。请查阅发行说明以获取解决方案。