AMDAMD 公告 AMD-SB-6016,2025年2月
漏洞披露:
Supermicro 并正在处理AMD MI300X加速器中卫星管理控制器(SMC)存在的安全漏洞。这些漏洞可能导致服务拒绝和/或数据损坏。
CVE:
- CVE-2024-21927
- 严重程度中度
- CVE-2024-21935
- 严重程度中度
- CVE-2024-21936
- 严重性:高
调查结果
- CVE-2024-21927:
- 卫星管理控制器(SMC)中的输入验证不当可能允许具有特权的攻击者在篡改的Redfish® API命令中使用特定特殊字符,导致OpenBMC等服务进程崩溃并重置,从而可能引发拒绝服务攻击。
- CVE-2024-21935:
- 卫星管理控制器(SMC)中输入验证不当,可能使具备特权的攻击者通过操纵Redfish® API命令从本地根目录删除文件,从而导致数据损坏。
- CVE-2024-21936:
- 卫星管理控制器(SMC)中的输入验证不当可能允许具有特权的攻击者发送多个经过篡改的Redfish® API命令,导致OpenBMC等服务进程崩溃并重置,从而可能引发拒绝服务攻击。
受影响的产品:
| AMD | 修复后的 BIOS 版本 |
|---|---|
| H13 MI300X (H13DSG-OM) | 不受影响 |
| AMD 服务器 | 图形处理器固件包/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
补救措施:
- 所有受影响Supermicro 型号均需更新GPU固件以缓解此潜在漏洞。
- 已创建更新的GPU固件以缓解此潜在漏洞。Supermicro 测试和验证受影响的产品。请查阅发布说明以获取解决方案。