AMD AMD, Februar 2024
Offenlegung von Schwachstellen:
Supermicro ist sich der Sicherheitslücken bei AMD Prozessoren bewusst. Dieses Problem betrifft AMD EPYC™ 1st Gen, AMD EPYC™ 2nd Gen, AMD EPYC™ 3rd Gen und 4th Gen Prozessoren.
Feststellungen:
| CVE | CVSS-Score | CVE-Beschreibung |
|---|---|---|
| CVE-2023-20576 | Hoch | Eine unzureichende Überprüfung der Datenauthentizität in AGESATM kann es einem Angreifer ermöglichen, SPI-ROM-Daten zu aktualisieren, was zu einer Dienstverweigerung oder Privilegienerweiterung führen kann. |
| CVE-2023-20577 | Hoch | Ein Heap-Überlauf im SMM-Modul könnte einem Angreifer Zugriff auf eine zweite Schwachstelle geben, die das Schreiben in den SPI-Flash ermöglicht, was möglicherweise zur Ausführung von beliebigem Code führen könnte. |
| CVE-2023-20579 | Hoch | Eine unsachgemäße Zugriffskontrolle in der AMD SPI-Schutzfunktion kann es einem Benutzer mit privilegiertem Zugriff auf Ring0 (Kernelmodus) ermöglichen, die Schutzmaßnahmen zu umgehen, was zu einem Verlust der Integrität und Verfügbarkeit führen kann. |
| CVE-2023-20587 | Hoch | Unzulässige Zugriffskontrolle im System Management Mode (SMM) könnte einem Angreifer Zugriff auf den SPI-Flash ermöglichen, was möglicherweise zur Ausführung von beliebigem Code führen könnte. |
Betroffene Produkte:
Supermicro BIOS in den Motherboards H11, H12 und ausgewählten H13
| AMD Motherboard-Generation | BIOS-Version mit der Korrektur |
|---|---|
| H11 - Neapel | v 2.8 |
| H11 - Rom | v 1.4 |
| H12 - Rom/Mailand | v 2.8 |
| H13SSW | v 1.6 |
| H13DSH | v 1.6 |
| H13DSG-O-CPU | v 1.6a |
| H13SST-G/GC | v 1.6 |
| H13SSL-N/NC | v 1.6 |
| H13SSH | v 1.7 |
| H13DSG-O-CPU-D | v 1.6 |
| H13SSF | v 1.6 |
| H13SVW-NT | v 1.1b |
| H13DSG-OM | v 1.0 |
Abhilfe:
- Alle betroffenen Supermicro benötigen ein BIOS-Update, um diese potenzielle Sicherheitslücke zu schließen.
- Es wurde eine aktualisierte BIOS-Firmware erstellt, um diese potenzielle Schwachstelle zu entschärfen. Supermicro testet und validiert derzeit die betroffenen Produkte. Bitte prüfen Sie die Release Notes für die Lösung.