AMD セキュリティ速報AMD -SB-7027、2025年2月
脆弱性開示:
Supermicro Quarkslabが報告した、複数のプラットフォームでサポートされているAmdPspP2CmboxV2およびAmdCpmDisplayFeatureSMM UEFIモジュール内の2つのセキュリティ脆弱性を認識し、対処しています。 AMD 攻撃者がSMM(システム管理モード)内でコードを実行できる可能性のあるプロセッサ。
CVE:
- CVE-2024-0179
- 重症度:高
- CVE-2024-21925
- 重症度:高
調査結果:
これらの脆弱性により、リング0の攻撃者は権限を昇格させることができ、SMM内で任意のコード実行につながる可能性があります。 AMD これらの脆弱性に対処するための緩和策をリリースする予定です。
- CVE-2024-0179:
- 衛星管理コントローラ (SMC) の入力検証が不適切であるため、権限を持つ攻撃者が操作されたデータに特定の特殊文字を使用できる可能性があります。 Redfish® APIコマンドによって、OpenBMCなどのサービスプロセスがクラッシュしてリセットされ、サービス拒否につながる可能性がある。
- CVE-2024-21925:
- AmdCpmDisplayFeatureSMMドライバ内のSMMコールアウトの脆弱性により、ローカル認証された攻撃者がSMRAMを上書きし、任意のコード実行につながる可能性があります。
- CVE-2024-21925:
- AmdPspP2CmboxV2ドライバ内の入力検証の不備により、特権を持つ攻撃者がSMRAMを上書きし、任意のコード実行につながる可能性があります。
対象製品:
サーバ:
| AMD マザーボード | 修正済みのBIOSバージョン |
|---|---|
| H11 – ナポリ/ローマ | v 3.1 |
| H12 – ローマ/ミラノ | v 3.1 |
| H13 – ジェノヴァ | v 3.1 |
| H13 – シエナ | v 1.3 |
| H14 - トリノ | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| AMD サーバ | GPUファームウェアバンドル/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
クライアント:
| AMD マザーボード | 修正済みのBIOSバージョン |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | 影響を受けない |
| H13SRD-F | 影響を受けない |
| H13SRE-F | 影響を受けない |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
修復:
- 影響を受けたすべての人Supermicro この潜在的な脆弱性を軽減するためには、マザーボードのSKUによってはBIOSのアップデートが必要になります。
- この潜在的な脆弱性を軽減するために、更新されたBIOSファームウェアが作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。