AMD 安全公告AMD -SB-6016,2025年2月
漏洞披露:
Supermicro 已意识到并正在解决卫星管理控制器 (SMC) 中的安全漏洞。 AMD Instinct™ MI300X 加速器。这些漏洞可能导致拒绝服务攻击和/或数据损坏。
CVE:
- CVE-2024-21927
- 严重程度中度
- CVE-2024-21935
- 严重程度中度
- CVE-2024-21936
- 严重性:高
调查结果
- CVE-2024-21927:
- 卫星管理控制器 (SMC) 中不正确的输入验证可能允许具有特权的攻击者在篡改的数据中使用某些特殊字符。 Redfish® API 命令会导致 OpenBMC 等服务进程崩溃和重置,从而可能导致拒绝服务。
- CVE-2024-21935:
- 卫星管理控制器 (SMC) 中不正确的输入验证可能允许具有权限的攻击者进行操纵。 Redfish® 使用 API 命令从本地根目录中删除文件,可能会导致数据损坏。
- CVE-2024-21936:
- 卫星管理控制器 (SMC) 中不正确的输入验证可能允许具有权限的攻击者发送多个篡改过的数据。 Redfish® API 命令会导致 OpenBMC 等服务进程崩溃和重置,从而可能导致拒绝服务。
受影响的产品:
| AMD 母板 | 修复后的 BIOS 版本 |
|---|---|
| H13 MI300X (H13DSG-OM) | 不受影响 |
| AMD 服务器 | 图形处理器固件包/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
补救措施:
- 所有受影响的人Supermicro 主板型号需要更新GPU固件以缓解此潜在漏洞。
- 为缓解这一潜在漏洞,我们已开发出更新的GPU固件。 Supermicro 目前正在对受影响的产品进行测试和验证。请查看发行说明以了解解决方案。