AMD 安全公告AMD,2024 年 12 月
漏洞披露:
Supermicro 安全漏洞,该漏洞可能导致串行存在检测(SPD)元数据被篡改,使连接的内存模块显示容量大于实际容量,从而引发内存地址别名问题。此漏洞AMD 第三代和第四代处理器。
CVE:
- CVE-2024-21944
- 严重程度中度
调查结果
这个安全漏洞破坏了安全加密虚拟化安全嵌套分页(SEV-SNP)功能的完整性。攻击者可以修改串行存在检测(SPD)元数据,使内存模块看起来比实际尺寸大。通过将内存模块的报告大小增加一倍,主机看到的两个不同的系统物理地址可能会别名为相同的底层 DRAM 位置。这样,攻击者就可以覆盖和破坏系统内存,有可能绕过 SEV-SNP 提供的保护。研究人员演示了一种利用这种攻击的方法,这种方法需要对双列直插式内存模块(DIMM)进行物理访问,但他们认为,如果 DIMM 没有锁定 SPD,攻击也可以在没有物理访问的情况下执行。
受影响的产品:
Supermicro 应用于服务器 H12 和 H13 主板。
| AMD 主板世代 | 修复后的 BIOS 版本 |
|---|---|
| H12 - 米兰 | v 3.0 |
| H13 - 热那亚 | v 3.1 |
| H13VW-NT - 锡耶纳 | v 1.3 |
补救措施:
- 所有受影响Supermicro 型号均需更新BIOS以缓解此潜在漏洞。
- 已创建更新的BIOS固件以缓解此潜在漏洞。Supermicro 测试和验证受影响的产品。请查阅发布说明以获取解决方案。