AMD AMD, Februar 2025
Offenlegung von Schwachstellen:
Supermicro is aware of and is addressing the security vulnerabilities in the Satellite Management Controller (SMC) in AMD Instinct™ MI300X Accelerators. These vulnerabilities could potentially cause denial of service and/or data corruption.
CVE:
- 21927
- Schweregrad: Mittel
- 21935
- Schweregrad: Mittel
- 21936
- Schweregrad: Hoch
Feststellungen:
- CVE-2024-21927:
- Eine unsachgemäße Eingabevalidierung im Satellite Management Controller (SMC) kann es einem Angreifer mit entsprechenden Rechten ermöglichen, bestimmte Sonderzeichen in manipulierten Redfish®-API-Befehlen zu verwenden, wodurch Dienstprozesse wie OpenBMC zum Absturz gebracht und zurückgesetzt werden können, was zu einem Denial-of-Service führen kann.
- CVE-2024-21935:
- Eine unsachgemäße Eingabevalidierung im Satellite Management Controller (SMC) kann es einem Angreifer mit entsprechenden Rechten ermöglichen, Redfish® API-Befehle zu manipulieren, um Dateien aus dem lokalen Stammverzeichnis zu entfernen, was zu einer Beschädigung von Daten führen kann.
- CVE-2024-21936:
- Eine unsachgemäße Eingabevalidierung im Satellite Management Controller (SMC) kann es einem Angreifer mit entsprechenden Rechten ermöglichen, mehrere manipulierte Redfish®-API-Befehle zu senden, wodurch Dienstprozesse wie OpenBMC zum Absturz gebracht und zurückgesetzt werden können, was zu einem Denial-of-Service führen kann.
Betroffene Produkte:
| AMD | BIOS-Version mit der Korrektur |
|---|---|
| H13 MI300X (H13DSG-OM) | Nicht betroffen |
| AMD | GPU-Firmware-Bundle/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
Abhilfe:
- All affected Supermicro motherboard SKUs will require a GPU firmware update to mitigate this potential vulnerability.
- An updated GPU firmware has been created to mitigate this potential vulnerability. Supermicro is currently testing and validating affected products. Please check Release Notes for the resolution.