wikiSicherheitshinweise zu AMD-SB-3003 Server Vulnerabilities
Am 13. August 2024 wurde von AMD das Security Bulletin AMD-SB-3003 veröffentlicht. Es wurden Sicherheitslücken in ASP (AMD Secure Processor), SEV (AMD Secure Encrypted Virtualization), SEV-SNP (AMD Secure Encrypted Virtualization – Secure Nested Paging) und anderen Plattformkomponenten entdeckt. [1]
Betroffene Systeme
- Systeme mit "Zen 1" AMD EPYC 7001 Naples Prozessoren
- Systeme mit "Zen 2" AMD EPYC 7002 Rome Prozessoren
- Systeme mit "Zen 3" AMD EPYC 7003 Milan Prozessoren
- Systeme mit "Zen 4" AMD EPYC 9004 Genoa und Bergamo Prozessoren
Problemlösung
Hier eine tabellarische Aufstellung der entsprechenden CVEs und AGESA & Firmware-Updates zur Behebung, für jede EPYC-Generation, falls vorhanden.
AMD EPYC 7001 Naples:
| Sicherheitslücke | Gefährdungspotential: | AGESA Version | SEV Firmware |
|---|---|---|---|
| CVE-2023-20578 | Hoch | NaplesPI 1.0.0.K
(2023-06-14) |
N/A |
| Sicherheitslücke | Gefährdungspotential: | AGESA Version | SEV Firmware |
|---|---|---|---|
| CVE-2021-26344 | Hoch | RomePI 1.0.0.C
(2021-07-22) |
N/A |
| CVE-2023-20578 | Hoch | RomePI 1.0.0.G
(2023-05-05) |
N/A |
| CVE-2021-46772 | Niedrig | RomePI 1.0.0.E
(2022-06-17) |
N/A |
| Sicherheitslücke | Gefährdungspotential: | AGESA Version | SEV Firmware |
|---|---|---|---|
| CVE-2021-26344 | Hoch | MilanPI 1.0.0.5
(2021-08-05) |
N/A |
| CVE-2023-20578 | Hoch | MilanPI 1.0.0.B
(2023-06-08) |
N/A |
| CVE-2023-20584 | Mittel | MilanPI 1.0.0.C
(2023-12-18) |
SEV 1.55.9
[hex 1.37.09] |
| CVE-2023-20591 | Mittel | MilanPI 1.0.0.B
(2023-06-08) |
N/A |
| CVE-2023-31356 | Mittel | MilanPI 1.0.0.C
(2023-12-18) |
SEV 1.55.17
[hex 01.37.11] |
| CVE-2021-46772 | Niedrig | MilanPI 1.0.0.9
(2022-05-21) |
N/A |
AMD EPYC 9004 Genoa und Bergamo:
| Sicherheitslücke | Gefährdungspotential: | AGESA Version | SEV Firmware |
|---|---|---|---|
| CVE-2023-20578 | Hoch | GenoaPI 1.0.0.2
(2022-10-04) |
N/A |
| CVE-2023-20584 | Mittel | GenoaPI 1.0.0.B
(2023-12-15) |
SEV 1.55.23
[hex 1.37.17] |
| CVE-2023-20591 | Mittel | Genoa 1.0.0.8
(2023-06-09) |
N/A |
| CVE-2023-31356 | Mittel | GenoaPI 1.0.0.B
(2023-12-15) |
SEV 1.55.31
[hex 1.37.1F] |
| CVE-2023-20518 | Niedrig | GenoaPI 1.0.0.4
(2022-12-22) |
N/A |
Supermicro hat ein Security Bulletin zu den Sicherheitslücken veröffentlicht. Eine Liste mit BIOS-Versionen der jeweiligen Mainboards, mit einer AGESA-Version, um die Lücken zu schließen, ist auch enthalten:[2]
| AMD Motherboard Generation | BIOS Version |
|---|---|
| H11 – Naples (unsigned) | 1.4 |
| H11 – Naples/Rome (signed) | 2.8 |
| H12 – Rome/Milan | 2.8 |
| H13 – Genoa | 1.8 |
| H13 – Siena (H13SVW) | 1.2 |
Updates für Produkte von Thomas-Krenn
Updates zum jeweiligen System finden Sie im Downloadbereich von Thomas-Krenn. Die Updates im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.
Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus oder Supermicro beziehen.
Einzelnachweise
- ↑ AMD Server Vulnerabilities – August 2024 (www.amd.com/en/resources/product-security, 13.08.2024)
- ↑ AMD Security Vulnerabilities, August 2024 (www.supermicro.com)
