AMD 安全公告 AMD-SB-3015,2024 年 12 月
漏洞披露:
Supermicro 已獲悉此安全性問題,即可能修改序列存在檢測 (SPD) 中繼資料,以使連接的記憶體模組顯示其容量大於實際容量,這可能導致記憶體位址重疊 (aliasing)。此問題影響 AMD EPYC™ 第三代和第四代處理器。
CVE:
- CVE-2024-21944
- 嚴重程度:中等
研究結果:
此安全漏洞將削弱安全加密虛擬化安全嵌套分頁(SEV-SNP)功能的完整性。攻擊者可能篡改序列存在檢測(SPD)元資料,使記憶體模組看似容量大於實際值。透過將記憶體模組的報告容量倍增,主機所見的兩個不同系統物理位址可能別名指向相同的底層DRAM位置。 此漏洞可能使攻擊者得以覆寫並破壞系統記憶體,進而繞過SEV-SNP提供的防護機制。研究人員展示了一種需物理接觸雙列直插式記憶體模組(DIMM)的攻擊手法,但認為若DIMM未鎖定SPD,此攻擊亦可無需物理接觸即可執行。
受影響產品:
Supermicro BIOS 適用於伺服器 H12 和 H13 主機板。
| AMD 主機板世代 | 已修正的 BIOS 版本 |
|---|---|
| H12 - 米蘭 | v 3.0 |
| H13 - 熱那亞 | v 3.1 |
| H13VW-NT - 錫耶納 | v 1.3 |
修復:
- 所有受影響的 Supermicro 主機板 SKU 都將需要進行 BIOS 更新,以緩解此潛在漏洞。
- 已建立更新的 BIOS 韌體以緩解此潛在漏洞。Supermicro 目前正在測試和驗證受影響的產品。請查閱發行說明以獲取解決方案。