AMDAMD 公告 AMD-SB-3015,2024年12月
漏洞披露:
Supermicro 一項安全問題,該問題可能導致串列存在偵測(SPD)元資料遭竄改,使連接的記憶體模組顯示容量大於實際值,進而引發記憶體位址別名現象。此問題影響AMD 第三代與第四代處理器。
CVE:
- CVE-2024-21944
- 嚴重程度:中等
研究結果:
此安全漏洞將削弱安全加密虛擬化安全嵌套分頁(SEV-SNP)功能的完整性。攻擊者可能篡改序列存在檢測(SPD)元資料,使記憶體模組看似容量大於實際值。透過將記憶體模組的報告容量倍增,主機所見的兩個不同系統物理位址可能別名指向相同的底層DRAM位置。 此漏洞可能使攻擊者得以覆寫並破壞系統記憶體,進而繞過SEV-SNP提供的防護機制。研究人員展示了一種需物理接觸雙列直插式記憶體模組(DIMM)的攻擊手法,但認為若DIMM未鎖定SPD,此攻擊亦可無需物理接觸即可執行。
受影響產品:
Supermicro 於 H12 與 H13 伺服器主機板中。
| AMD 世代 | 已修正的 BIOS 版本 |
|---|---|
| H12 - 米蘭 | v 3.0 |
| H13 - 熱那亞 | v 3.1 |
| H13VW-NT - 錫耶納 | v 1.3 |
修復:
- 所有受影響的Supermicro 型號皆需更新 BIOS 以減輕此潛在漏洞的風險。
- 已開發新版 BIOS 韌體以減輕此潛在漏洞風險。Supermicro 目前Supermicro 受影響產品Supermicro 測試與驗證。請參閱發行說明以獲取解決方案。