AMD 安全公告AMD -SB-4007,2024年5月
漏洞披露:
Supermicro 意識到記憶體洩漏漏洞AMD 伺服器和用戶端桌面及行動 APU/CPU 中的 DXE 驅動程式可能允許高權限使用者取得敏感資訊。此問題會影響AMD EPYC™ 第三代處理器。
CVE:
- CVE-2023-20594
- 嚴重程度:中等
- CVE-2023-20597
- 嚴重程度:中等
發現:
記憶體洩漏漏洞AMD 伺服器和客戶端桌面及行動APU/CPU中的DXE驅動程式可能允許高權限使用者取得敏感資訊。這些潛在漏洞存在於驅動執行環境(DXE)驅動程式中,攻擊者可能利用這些漏洞將堆疊記憶體或全域記憶體轉儲到NVRAM變數中。這可能導致拒絕服務攻擊或資訊外洩。
受影響產品:
Supermicro 伺服器中的BIOS H12 主機板和H13 以及 M12 客戶端板。
| AMD 主機板世代 | 修復後的 BIOS 版本 |
|---|---|
| H12 米蘭 | v 2.8 |
| AMD 客戶主機板 | 修復後的 BIOS 版本 |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
補救措施:
- 所有受影響的人Supermicro 主機板型號需要更新 BIOS 以緩解此潛在漏洞。
- 已開發出更新的 BIOS 韌體來緩解這項潛在漏洞。 Supermicro 目前正在對受影響的產品進行測試和驗證。請查看發行說明以了解解決方案。