AMD 安全公告AMD -SB-7027,2025年2月
漏洞披露:
Supermicro Quarkslab 已注意到并正在解决其报告的 AmdPspP2CmboxV2 和 AmdCpmDisplayFeatureSMM UEFI 模块中存在的两个安全漏洞,这两个模块受多种平台支持。 AMD 允许攻击者在 SMM(系统管理模式)内执行代码的处理器。
CVE:
- CVE-2024-0179
- 严重性:高
- CVE-2024-21925
- 严重性:高
调查结果
这些漏洞可能允许 0 级攻击者提升其权限,从而可能导致 SMM 中任意代码的执行。 AMD 计划发布缓解措施来解决这些漏洞。
- CVE-2024-0179:
- 卫星管理控制器 (SMC) 中不正确的输入验证可能允许具有特权的攻击者在篡改的数据中使用某些特殊字符。 Redfish® API 命令会导致 OpenBMC 等服务进程崩溃和重置,从而可能导致拒绝服务。
- CVE-2024-21925:
- AmdCpmDisplayFeatureSMM 驱动程序中的 SMM 调用漏洞可能允许本地经过身份验证的攻击者覆盖 SMRAM,从而可能导致任意代码执行。
- CVE-2024-21925:
- AmdPspP2CmboxV2 驱动程序中不正确的输入验证可能会允许有特权的攻击者覆盖 SMRAM,从而导致任意代码执行。
受影响的产品:
服务器:
| AMD 母板 | 修复后的 BIOS 版本 |
|---|---|
| H11 那不勒斯/罗马 | v 3.1 |
| H12 罗马/米兰 | v 3.1 |
| H13 热那亚 | v 3.1 |
| H13 锡耶纳 | v 1.3 |
| H14 都灵 | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| AMD 服务器 | 图形处理器固件包/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
客户:
| AMD 母板 | 包含此修复程序的 BIOS 版本 |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | 未受影响 |
| H13SRD-F | 未受影响 |
| H13SRE-F | 未受影响 |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
补救措施:
- 所有受影响的人Supermicro 主板型号需要更新 BIOS 以缓解此潜在漏洞。
- 已开发出更新的 BIOS 固件来缓解这一潜在漏洞。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看发行说明以了解解决方案。