BIOS 漏洞,2024 年 7 月
漏洞披露:
本披露旨在通报外部研究人员报告的、影响 Supermicro 产品的潜在漏洞。
致谢:
Supermicro 谨此感谢来自中国的研究员 Eason 和 vul_pwner 所做的工作,他们发现了 Supermicro BIOS 固件中潜在的漏洞。
调查结果
Supermicro 已知悉 BIOS 固件中存在以下潜在漏洞。Supermicro BIOS 中不当的输入验证可能允许任意内存写入,这可能被利用。
CVE编号及受影响产品:
| CVE ID | CVSS评分 | 漏洞类型 | 受影响的主板 | 已修复的BIOS版本 |
|---|---|---|---|---|
| CVE-2024-36433 | 高(7.5) | 任意内存写入 |
| v 4.4 |
| CVE-2024-36434 | 高(7.5) | 社交媒体营销活动 |
| v 4.4 |
| CVE-2024-36432 | 高(7.5) | 任意内存写入 |
| v 4.4 |
缓解措施:
Supermicro 已创建修复程序以缓解这些潜在漏洞。受影响的主板正在验证中。请查阅发行说明以获取解决方案。
开发与公告:
Supermicro 尚未发现本公告中描述的漏洞有任何公开披露或恶意利用。