Bulletin AMD AMD, février 2024 | Supermicro

Bulletin AMD AMD, février 2024

Divulgation de la vulnérabilité :

Supermicro connaissance des vulnérabilités AMD . Ce problème concerne les processeurs AMD AMD EPYC™ deEPYC™ ,EPYC™ ,EPYC™ et 4e générations.

Les résultats :

CVE	Score CVSS	Description du CVE
CVE-2023-20576	Haut	Une vérification insuffisante de l'authenticité des données dans AGESATM peut permettre à un attaquant de mettre à jour les données SPI ROM, ce qui peut entraîner un déni de service ou une élévation des privilèges.
CVE-2023-20577	Haut	Un débordement de tas dans le module SMM peut permettre à un attaquant d'accéder à une seconde vulnérabilité qui permet d'écrire sur la flash SPI, ce qui peut entraîner l'exécution d'un code arbitraire.
CVE-2023-20579	Haut	Un contrôle d'accès inadéquat au sein de la fonctionnalité de protection AMD pourrait permettre à un utilisateur disposant d'un accès privilégié de niveau Ring 0 (mode noyau) de contourner les protections, ce qui pourrait entraîner une perte d'intégrité et de disponibilité.
CVE-2023-20587	Haut	Un contrôle d'accès incorrect dans le mode de gestion du système (SMM) peut permettre à un attaquant d'accéder à la flash SPI, ce qui pourrait entraîner l'exécution d'un code arbitraire.

Produits concernés :

Supermicro sur les H13 H11, H12 certaines H13

Génération de AMD	Version du BIOS avec la correction
H11 Naples	v 2.8
H11 Rome	v 1.4
H12 Rome/Milan	v 2.8
H13SSW	v 1.6
H13DSH	v 1.6
H13DSG-O-CPU	v 1.6a
H13SST-G/GC	v 1.6
H13SSL-N/NC	v 1.6
H13SSH	v 1.7
H13DSG-O-CPU-D	v 1.6
H13SSF	v 1.6
H13SVW-NT	v 1.1b
H13DSG-OM	v 1.0

Remédiation :

Toutes les références de cartes mères Supermicro concernées nécessiteront une mise à jour du BIOS afin d'atténuer cette vulnérabilité potentielle.
Un micrologiciel BIOS mis à jour a été créé pour atténuer cette vulnérabilité potentielle. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de version pour la résolution.

Ressources :

AMD