BIOS 漏洞,2024 年 7 月
漏洞披露:
本次披露的目的是为了说明可能影响系统的潜在漏洞Supermicro 由外部研究人员报告的产品。
致谢:
Supermicro 谨此感谢来自中国的研究人员 Eason 和 vul_pwner,感谢他们发现了潜在的漏洞。 Supermicro BIOS固件。
调查结果
Supermicro 已知悉BIOS固件中存在以下潜在漏洞:输入验证不当Supermicro BIOS 可能允许任意内存写入,这可能会被恶意利用。
CVE 和受影响产品:
| CVE ID | CVSS评分 | 漏洞类型 | 受影响的主板 | 修复程序的 BIOS 版本 |
|---|---|---|---|---|
| CVE-2024-36433 | 高(7.5) | 任意内存写入 |
| v 4.4 |
| CVE-2024-36434 | 高(7.5) | SMM 呼叫 |
| v 4.4 |
| CVE-2024-36432 | 高(7.5) | 任意内存写入 |
| v 4.4 |
减轻:
Supermicro 已制定修复方案以缓解这些潜在漏洞。受影响的主板正在接受验证。请查看版本说明以了解解决方案。
剥削与公开声明:
Supermicro 目前尚未发现任何公开声明或恶意利用本公告中所述漏洞的情况。