AMD セキュリティ情報AMD、2024年12月
脆弱性の開示
Supermicro 、シリアルプレゼンス検出(SPD)メタデータを改変することで、接続されたメモリモジュールを実際よりも大容量に見せかける可能性があり、メモリアドレスのエイリアシングを引き起こす恐れがあるセキュリティ上の問題をSupermicro 。この問題は、AMD 第3世代および第4世代プロセッサーに影響を及ぼします。
CVE:
- 21944
- 深刻度ミディアム
調査結果
このセキュリティ脆弱性は、Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) の機能の完全性を損ないます。攻撃者は、SPD(Serial Presence Detect)メタデータを変更することで、メモリモジュールのサイズを実際よりも大きく見せることができます。メモリモジュールの報告サイズを 2 倍にすることで、ホストから見た 2 つの異なるシステム物理アドレスが、同じ DRAM ロケーションにエイリアスされる可能性があります。これにより、攻撃者は、SEV-SNP による保護をバイパスして、システム・メモリを上書きし、破壊することができる可能性があります。研究者らは、デュアル・インライン・メモリ・モジュール(DIMM)への物理的なアクセスを必要とするこの攻撃を悪用する方法を実証していますが、DIMMがSPDをロックしていない場合には、物理的なアクセスがなくても攻撃を実行できると考えています。
影響を受ける製品
サーバー用H12およびH13マザーボード搭載のSupermicro 。
| AMD マザーボード世代 | 修正されたBIOSバージョン |
|---|---|
| H12 - ミラノ | v 3.0 |
| H13 - ジェノバ | v 3.1 |
| H13VW-NT - シエナ | v 1.3 |
修復:
- 影響を受けるSupermicro については、この潜在的な脆弱性を軽減するため、BIOSの更新が必要となります。
- この潜在的な脆弱性を軽減するため、更新されたBIOSファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証Supermicro 。解決策につきましては、リリースノートをご確認ください。