Boletín de seguridad de AMD AMD, febrero de 2025
Divulgación de vulnerabilidades:
Supermicro is aware of and is addressing the security vulnerabilities in the Satellite Management Controller (SMC) in AMD Instinct™ MI300X Accelerators. These vulnerabilities could potentially cause denial of service and/or data corruption.
CVE:
- 21927
- Gravedad: Media
- 21935
- Gravedad: Media
- 21936
- Gravedad: Alta
Hallazgos:
- CVE-2024-21927:
- Una validación de entrada inadecuada en Satellite Management Controller (SMC) puede permitir a un atacante con privilegios utilizar ciertos caracteres especiales en comandos manipulados de la API Redfish®, provocando el bloqueo y reinicio de procesos de servicio como OpenBMC, lo que podría resultar en una denegación de servicio.
- CVE-2024-21935:
- Una validación de entrada inadecuada en el Satellite Management Controller (SMC) puede permitir a un atacante con privilegios manipular los comandos de la API Redfish® para eliminar archivos del directorio raíz local, lo que podría provocar la corrupción de datos.
- CVE-2024-21936:
- Una validación de entrada inadecuada en el Controlador de Gestión de Satélites (SMC) puede permitir a un atacante con privilegios enviar múltiples comandos manipulados de la API Redfish®, provocando el bloqueo y reinicio de procesos de servicio como OpenBMC, lo que podría resultar en una denegación de servicio.
Productos afectados:
| Placa base AMD | Versión de la BIOS con la corrección |
|---|---|
| H13 MI300X (H13DSG-OM) | No afectado |
| Servidor AMD | GPU Firmware Bundle/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
Remediación:
- All affected Supermicro motherboard SKUs will require a GPU firmware update to mitigate this potential vulnerability.
- An updated GPU firmware has been created to mitigate this potential vulnerability. Supermicro is currently testing and validating affected products. Please check Release Notes for the resolution.