AMDセキュリティ速報 AMD-SB-6016、2025年2月
脆弱性の開示
Supermicroは、AMD Instinct™ MI300XアクセラレーターのSatellite Management Controller (SMC) におけるセキュリティ脆弱性を認識しており、対応を進めています。これらの脆弱性は、サービス拒否および/またはデータ破損を引き起こす可能性があります。
CVE:
- 21927
- 深刻度ミディアム
- 21935
- 深刻度ミディアム
- 21936
- 深刻度:高
調査結果
- CVE-2024-21927:
- サテライト管理コントローラー(SMC)における不適切な入力検証により、権限を持つ攻撃者がRedfish® 特定の特殊文字を使用することが可能となり、OpenBMCなどのサービスプロセスがクラッシュおよびリセットされる恐れがあります。これにより、サービス拒否(DoS)攻撃が発生する可能性があります。
- CVE-2024-21935:
- サテライト管理コントローラー(SMC)における不適切な入力検証により、権限を持つ攻撃者がRedfish® 操作し、ローカルルートディレクトリからファイルを削除する可能性がございます。これにより、データ破損が生じる恐れがございます。
- CVE-2024-21936:
- サテライト管理コントローラー(SMC)における不適切な入力検証により、権限を持つ攻撃者が改ざんされたRedfish® 信できる可能性があります。これにより、OpenBMCなどのサービスプロセスがクラッシュし、リセットされる恐れがあり、サービス拒否(DoS)攻撃につながる可能性があります。
影響を受ける製品
| AMDマザーボード | 修正されたBIOSバージョン |
|---|---|
| H13 MI300X(H13DSG-OM) | 影響なし |
| AMDサーバー | GPUファームウェアバンドル/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
修復:
- 影響を受けるすべてのSupermicroマザーボードSKUは、この潜在的な脆弱性を軽減するためにGPUファームウェアのアップデートが必要となります。
- この潜在的な脆弱性を軽減するために、更新されたGPUファームウェアが作成されました。Supermicroは現在、影響を受ける製品のテストと検証を行っています。解決策についてはリリースノートをご確認ください。