AMD 安全公告AMD -SB-7027,2025年2月
漏洞披露:
Supermicro Quarkslab 已註意到並正在解決其報告的 AmdPspP2CmboxV2 和 AmdCpmDisplayFeatureSMM UEFI 模組中存在的兩個安全漏洞,這兩個模組受多種平台支援。 AMD 允許攻擊者在 SMM(系統管理模式)內執行程式碼的處理器。
CVE:
- CVE-2024-0179
- 嚴重程度:高
- CVE-2024-21925
- 嚴重程度:高
發現:
這些漏洞可能允許 0 級攻擊者提升其權限,這可能導致 SMM 中任意程式碼的執行。 AMD 計劃發布緩解措施來解決這些漏洞。
- CVE-2024-0179:
- 衛星管理控制器 (SMC) 中不正確的輸入驗證可能允許具有特權的攻擊者在篡改的資料中使用某些特殊字元。 Redfish® API 命令會導致 OpenBMC 等服務進程崩潰和重置,從而可能導致拒絕服務。
- CVE-2024-21925:
- AmdCpmDisplayFeatureSMM 驅動程式中的 SMM 呼叫漏洞可能允許本機經過驗證的攻擊者覆寫 SMRAM,從而可能導致任意程式碼執行。
- CVE-2024-21925:
- AmdPspP2CmboxV2 驅動程式中不正確的輸入驗證可能會允許有特權的攻擊者覆蓋 SMRAM,從而導致任意程式碼執行。
受影響產品:
伺服器:
| AMD 主機板 | 修復後的 BIOS 版本 |
|---|---|
| H11 那不勒斯/羅馬 | v 3.1 |
| H12 羅馬/米蘭 | v 3.1 |
| H13 熱那亞 | v 3.1 |
| H13 錫耶納 | v 1.3 |
| H14 都靈 | v 1.1 |
| H13 MI300X (H13DSG-OM) | v 3.2 |
| AMD 伺服器 | GPU韌體包/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
客戶:
| AMD 主機板 | 包含此修復程式的 BIOS 版本 |
|---|---|
| M11SDV-4/8C(T)-LN4F | v 1.5 |
| M12SWA-TF | v 2.3 |
| H13SAE-MF | 未受影響 |
| H13SRD-F | 未受影響 |
| H13SRE-F | 未受影響 |
| H13SRH | V 1.6 |
| H13SRA-F | v 1.6 |
| H13SRA-TF | v 1.6 |
補救措施:
- 所有受影響的人Supermicro 主機板型號需要更新 BIOS 以緩解此潛在漏洞。
- 已開發出更新的 BIOS 韌體來緩解這項潛在漏洞。 Supermicro 目前正在對受影響的產品進行測試和驗證。請查看發行說明以了解解決方案。