AMD セキュリティ速報AMD -SB-6016、2025年2月
脆弱性開示:
Supermicro は、衛星管理コントローラ(SMC)のセキュリティ脆弱性を認識しており、対処しています。 AMD Instinct™ MI300Xアクセラレータ。これらの脆弱性により、サービス拒否やデータ破損が発生する可能性があります。
CVE:
- CVE-2024-21927
- 重症度:中程度
- CVE-2024-21935
- 重症度:中程度
- CVE-2024-21936
- 重症度:高
調査結果:
- CVE-2024-21927:
- 衛星管理コントローラ (SMC) の入力検証が不適切であるため、権限を持つ攻撃者が操作されたデータに特定の特殊文字を使用できる可能性があります。 Redfish® APIコマンドによって、OpenBMCなどのサービスプロセスがクラッシュしてリセットされ、サービス拒否につながる可能性がある。
- CVE-2024-21935:
- 衛星管理コントローラ(SMC)における入力検証の不備により、権限を持つ攻撃者がデータを操作できる可能性があります。 Redfish® ローカルルートディレクトリからファイルを削除するAPIコマンド。データ破損を引き起こす可能性があります。
- CVE-2024-21936:
- 衛星管理コントローラ (SMC) における入力検証の不備により、権限を持つ攻撃者が複数の改ざんされたデータを送信できる可能性があります。 Redfish® APIコマンドによって、OpenBMCなどのサービスプロセスがクラッシュしてリセットされ、サービス拒否につながる可能性がある。
対象製品:
| AMD マザーボード | 修正済みのBIOSバージョン |
|---|---|
| H13 MI300X (H13DSG-OM) | 影響を受けない |
| AMD サーバ | GPUファームウェアバンドル/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
修復:
- 影響を受けたすべての人Supermicro この潜在的な脆弱性を軽減するためには、マザーボードのSKUごとにGPUファームウェアのアップデートが必要になります。
- この潜在的な脆弱性を軽減するために、GPUファームウェアのアップデート版が作成されました。 Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決策については、リリースノートをご確認ください。