AMD セキュリティ速報AMD -SB-3015、2024年12月
脆弱性開示:
Supermicro シリアルプレゼンス検出 (SPD) メタデータを変更して、アタッチされたメモリー モジュールは実際よりも大きく見えるため、メモリー アドレスエイリアシング。この問題は以下に影響します。 AMD EPYC™ 第3世代および第4世代プロセッサー。
CVE:
- CVE-2024-21944
- 重症度:中程度
調査結果:
このセキュリティ脆弱性は、セキュア暗号化仮想化セキュアネストページング(SEV-SNP)の機能の完全性を損なうものです。攻撃者はシリアルプレゼンス検出(SPD)メタデータを変更して、メモリー モジュールは実際よりも大きく表示されます。メモリー モジュールでは、ホストから見ると、2つの異なるシステム物理アドレスが同じ基底DRAM位置にエイリアスする可能性があります。これにより、攻撃者はシステムを上書きして破損させることができます。メモリーSEV-SNPによって提供される保護を回避する可能性がある。研究者らは、この攻撃を悪用する方法を実証しており、その方法はデュアルインラインへの物理的なアクセスを必要とする。メモリー DIMMモジュールですが、DIMMがSPDをロックしない場合は、物理的なアクセスなしでも攻撃を実行できると考えています。
対象製品:
Supermicro サーバーのBIOS H12 そしてH13 マザーボード。
| AMD マザーボード世代 | 修正済みのBIOSバージョン |
|---|---|
| H12 - ミラノ | v 3.0 |
| H13 ジェノヴァ | v 3.1 |
| H13VW-NT - シエナ | v 1.3 |
修復:
- 影響を受けたすべての人Supermicro この潜在的な脆弱性を軽減するためには、マザーボードのSKUによってはBIOSのアップデートが必要になります。
- この潜在的な脆弱性を軽減するために、更新されたBIOSファームウェアが作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。