AMD Bulletin de sécurité AMD -SB-7027, février 2025
Divulgation des vulnérabilités :
Supermicro Quarkslab a connaissance de deux failles de sécurité signalées dans les modules UEFI AmdPspP2CmboxV2 et AmdCpmDisplayFeatureSMM, et travaille à les corriger. Ces failles sont prises en charge par plusieurs systèmes. AMD processeurs qui pourraient permettre aux attaquants d'exécuter du code en mode de gestion système (SMM).
CVE :
- CVE-2024-0179
- Gravité : Élevée
- CVE-2024-21925
- Gravité : Élevée
Résultats:
Ces vulnérabilités peuvent permettre à un attaquant de niveau 0 d'élever ses privilèges, ce qui peut potentiellement entraîner l'exécution de code arbitraire au sein de SMM. AMD Des mesures d'atténuation seront publiées afin de remédier à ces vulnérabilités.
- CVE-2024-0179 :
- Une validation incorrecte des entrées dans le contrôleur de gestion des satellites (SMC) peut permettre à un attaquant disposant de privilèges d'utiliser certains caractères spéciaux dans des données manipulées. Redfish® Les commandes API peuvent entraîner le plantage et la réinitialisation de processus de service tels qu'OpenBMC, ce qui peut potentiellement provoquer un déni de service.
- CVE-2024-21925 :
- Une vulnérabilité d'appel SMM au sein du pilote AmdCpmDisplayFeatureSMM pourrait permettre à des attaquants authentifiés localement d'écraser la SMRAM, ce qui pourrait potentiellement entraîner l'exécution de code arbitraire.
- CVE-2024-21925 :
- Une validation d'entrée incorrecte au sein du pilote AmdPspP2CmboxV2 peut permettre à un attaquant privilégié d'écraser la SMRAM, ce qui conduit à l'exécution de code arbitraire.
Produits concernés :
Serveur:
| AMD Carte mère | Version du BIOS avec le correctif |
|---|---|
| H11 – Naples/Rome | v 3.1 |
| H12 – Rome/Milan | v 3.1 |
| H13 – Gênes | v 3.1 |
| H13 – Sienne | v 1.3 |
| H14 - Turin | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| AMD Serveur | Pack de firmware GPU/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
Client:
| AMD Carte mère | Version du BIOS avec le correctif |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | Non affecté |
| H13SRD-F | Non affecté |
| H13SRE-F | Non affecté |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
Remédiation :
- Tous les concernés Supermicro Les références des cartes mères nécessiteront une mise à jour du BIOS pour atténuer cette vulnérabilité potentielle.
- Un firmware BIOS mis à jour a été créé pour atténuer cette vulnérabilité potentielle. Supermicro Nous procédons actuellement à des tests et à la validation des produits concernés. Veuillez consulter les notes de version pour connaître la solution.