AMDAMD 公告 AMD-SB-7009,2024年2月
漏洞披露:
AMD Supermicro AMD 漏洞問題。此問題影響AMD 第一代、第二代、AMD 代及第四代處理器。
研究結果:
| CVE | CVSS評分 | CVE 描述 |
|---|---|---|
| CVE-2023-20576 | 高 | AGESATM 系統中對資料真實性的驗證不足,可能使攻擊者得以更新 SPI ROM 資料,進而導致服務阻斷或權限提升。 |
| CVE-2023-20577 | 高 | SMM 模組中的堆溢出漏洞可能使攻擊者得以利用第二個漏洞寫入 SPI 快閃記憶體,進而導致任意程式碼執行的風險。 |
| CVE-2023-20579 | 高 | AMD 保護功能中的存取控制不當,可能允許具備 Ring0(核心模式)特權存取權限的使用者繞過保護機制,進而導致完整性與可用性喪失。 |
| CVE-2023-20587 | 高 | 系統管理模式(SMM)中的存取控制不當,可能使攻擊者得以存取串列介面(SPI)快閃記憶體,進而導致任意程式碼執行。 |
受影響產品:
Supermicro 於 H11、H12 及特定 H13 主機板
| AMD 世代 | 已修正的 BIOS 版本 |
|---|---|
| H11 - 那不勒斯 | v 2.8 |
| H11 - 羅馬 | v 1.4 |
| H12 – 羅馬/米蘭 | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| CPU | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
修復:
- 所有受影響的Supermicro 型號皆需更新 BIOS 以減輕此潛在漏洞的風險。
- 已開發新版 BIOS 韌體以減輕此潛在漏洞風險。Supermicro 目前Supermicro 受影響產品Supermicro 測試與驗證。請參閱發行說明以獲取解決方案。