AMD 安全公告 AMD-SB-4007,2024 年 5 月
漏洞披露:
Supermicro 已知悉 AMD DXE 驅動程式在伺服器、用戶端桌上型電腦和行動 APU/CPU 中存在記憶體洩漏漏洞,可能允許高權限使用者取得敏感資訊。此問題影響 AMD EPYC™ 第三代處理器。
CVE:
- CVE-2023-20594
- 嚴重程度:中等
- CVE-2023-20597
- 嚴重程度:中等
研究結果:
AMD DXE 驅動程式在伺服器、用戶端桌上型電腦和行動 APU/CPU 中存在記憶體洩漏漏洞,可能允許高權限使用者取得敏感資訊。這些在驅動程式執行環境 (DXE) 驅動程式中的潛在漏洞,可能允許攻擊者將堆疊記憶體或全域記憶體傾印至 NVRAM 變數中。這可能導致阻斷服務或資訊洩露。
受影響產品:
伺服器 H12 主機板以及 H13 和 M12 用戶端主機板中的 Supermicro BIOS。
| AMD 主機板世代 | 已修正的 BIOS 版本 |
|---|---|
| H12 - 米蘭 | v 2.8 |
| AMD 用戶端主機板 | 已修正的 BIOS 版本 |
|---|---|
| H13SRD-F | v 1.2 |
| H13SRE-F | v 1.0 |
| H13SAE-MF | v 2.0a |
| M12SWA-TF | v 2.2 |
修復:
- 所有受影響的 Supermicro 主機板 SKU 都將需要進行 BIOS 更新,以緩解此潛在漏洞。
- 已建立更新的 BIOS 韌體以緩解此潛在漏洞。Supermicro 目前正在測試和驗證受影響的產品。請查閱發行說明以獲取解決方案。