Bulletin de sécurité AMD AMD-SB-7027, Février 2025
Divulgation de la vulnérabilité :
Supermicro est conscient et s'attaque à deux vulnérabilités de sécurité signalées par Quarkslab au sein des modules UEFI AmdPspP2CmboxV2 et AmdCpmDisplayFeatureSMM, pris en charge sur plusieurs processeurs AMD, qui pourraient permettre à des attaquants d'exécuter du code au sein du SMM (System Management Mode).
CVE :
- 0179
- Gravité: élevée
- 21925
- Gravité: élevée
Les résultats :
Ces vulnérabilités peuvent permettre à un attaquant de niveau 0 d'élever ses privilèges, ce qui pourrait entraîner l'exécution de code arbitraire en mode SMM. AMD prévoit de publier des mesures d'atténuation pour corriger ces vulnérabilités.
- CVE-2024-0179 :
- Une validation incorrecte des entrées dans Satellite Management Controller (SMC) peut permettre à un attaquant disposant de privilèges d'utiliser certains caractères spéciaux dans des commandes Redfish® manipulées, provoquant le plantage et la réinitialisation de processus de service tels que OpenBMC, ce qui peut entraîner un déni de service.
- CVE-2024-21925 :
- Une vulnérabilité d'appel SMM au sein du pilote AmdCpmDisplayFeatureSMM pourrait permettre à des attaquants authentifiés localement d'écraser la SMRAM, entraînant potentiellement l'exécution de code arbitraire.
- CVE-2024-21925 :
- Une validation d'entrée incorrecte au sein du pilote AmdPspP2CmboxV2 pourrait permettre à un attaquant privilégié d'écraser la SMRAM, conduisant à l'exécution de code arbitraire.
Produits concernés :
Serveur :
| Carte mère AMD | Version du BIOS avec la correction |
|---|---|
| H11 - Naples/Rome | v 3.1 |
| H12 - Rome/Milan | v 3.1 |
| H13 - Gênes | v 3.1 |
| H13 - Sienne | v 1.3 |
| H14 - Turin | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| Serveur AMD | Offre groupée de microprogrammes pour le GPU/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
Client :
| Carte mère AMD | Version du BIOS avec la correction |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | Non affecté |
| H13SRD-F | Non affecté |
| H13SRE-F | Non affecté |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
Remédiation :
- Toutes les références de cartes mères Supermicro concernées nécessiteront une mise à jour du BIOS afin d'atténuer cette vulnérabilité potentielle.
- Un micrologiciel BIOS mis à jour a été créé pour atténuer cette vulnérabilité potentielle. Supermicro teste et valide actuellement les produits concernés. Veuillez consulter les notes de version pour la résolution.