AMD 安全公告AMD -SB-4007,2024年5月
漏洞披露:
Supermicro 意识到内存泄漏漏洞AMD 服务器和客户端桌面及移动 APU/CPU 中的 DXE 驱动程序可能允许高权限用户获取敏感信息。此问题会影响AMD EPYC™ 第三代处理器。
CVE:
- CVE-2023-20594
- 严重程度中度
- CVE-2023-20597
- 严重程度中度
调查结果
内存泄漏漏洞AMD 服务器和客户端桌面及移动APU/CPU中的DXE驱动程序可能允许高权限用户获取敏感信息。这些潜在漏洞存在于驱动执行环境(DXE)驱动程序中,攻击者可能利用这些漏洞将堆栈内存或全局内存转储到NVRAM变量中。这可能导致拒绝服务攻击或信息泄露。
受影响的产品:
Supermicro 服务器中的BIOS H12 主板和H13 以及 M12 客户端板。
| AMD 主板世代 | 修复后的 BIOS 版本 |
|---|---|
| H12 - 米兰 | v 2.8 |
| AMD 客户主板 | 修复后的 BIOS 版本 |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
补救措施:
- 所有受影响的人Supermicro 主板型号需要更新 BIOS 以缓解此潜在漏洞。
- 已开发出更新的 BIOS 固件来缓解这一潜在漏洞。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看发行说明以了解解决方案。