AMD Bulletin de sécurité AMD -SB-7009, février 2024
Divulgation des vulnérabilités :
Supermicro est conscient de AMD Vulnérabilités du processeur. Ce problème affecte AMD EPYC™ 1ère génération, AMD EPYC™ 2e génération, AMD EPYC™ Processeurs de 3e et 4e génération.
Résultats:
| CVE | Score CVSS | Description du CVE |
|---|---|---|
| CVE-2023-20576 | Haut | Une vérification insuffisante de l'authenticité des données dans AGESATM peut permettre à un attaquant de mettre à jour les données ROM SPI, ce qui peut entraîner un déni de service ou une élévation de privilèges. |
| CVE-2023-20577 | Haut | Un dépassement de mémoire dans le module SMM peut permettre à un attaquant ayant accès à une seconde vulnérabilité d'écrire dans l'interface SPI. flash , ce qui peut potentiellement entraîner l'exécution de code arbitraire. |
| CVE-2023-20579 | Haut | Contrôle d'accès inadéquat dans le AMD La fonction de protection SPI peut permettre à un utilisateur disposant d'un accès privilégié Ring0 (mode noyau) de contourner les protections, ce qui peut entraîner une perte d'intégrité et de disponibilité. |
| CVE-2023-20587 | Haut | Un contrôle d'accès inadéquat en mode de gestion système (SMM) peut permettre à un attaquant d'accéder à l'interface SPI. flash pouvant potentiellement mener à l'exécution de code arbitraire. |
Produits concernés :
Supermicro BIOS dans le H11 , H12 et sélectionnez H13 cartes mères
| AMD Génération de carte mère | Version du BIOS avec le correctif |
|---|---|
| H11 - Naples | v 2.8 |
| H11 - Rome | v 1.4 |
| H12 – Rome/Milan | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| H13DSG-O-CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| H13DSG-O-CPU-D | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
Remédiation :
- Tous les concernés Supermicro Les références des cartes mères nécessiteront une mise à jour du BIOS pour atténuer cette vulnérabilité potentielle.
- Un firmware BIOS mis à jour a été créé pour atténuer cette vulnérabilité potentielle. Supermicro Nous procédons actuellement à des tests et à la validation des produits concernés. Veuillez consulter les notes de version pour connaître la solution.