AMD セキュリティ情報AMD、2025 年 2 月
脆弱性の開示
Supermicro は、AMD Instinct™ MI300X アクセラレータの Satellite Management Controller (SMC) のセキュリティ脆弱性を認識し、対処しています。これらの脆弱性は、サービス拒否やデータ破損を引き起こす可能性があります。
CVE:
- CVE-2024-21927
- 深刻度ミディアム
- CVE-2024-21935
- 深刻度ミディアム
- CVE-2024-21936
- 深刻度:高
調査結果
- CVE-2024-21927:
- Satellite Management Controller (SMC) の不適切な入力検証により、特権を持つ攻撃者が操作された Redfish® API コマンドで特定の特殊文字を使用し、OpenBMC などのサービスプロセスがクラッシュおよびリセットされ、サービス拒否に陥る可能性があります。
- CVE-2024-21935:
- Satellite Management Controller (SMC) における不適切な入力検証により、権限を持つ攻撃者が Redfish® API コマンドを操作してローカルルートディレクトリからファイルを削除し、データ破損を引き起こす可能性があります。
- CVE-2024-21936:
- Satellite Management Controller (SMC) における不適切な入力検証により、権限を持つ攻撃者が複数の操作された Redfish® API コマンドを送信し、OpenBMC などのサービスプロセスをクラッシュおよびリセットさせ、サービス拒否に陥る可能性があります。
影響を受ける製品
| AMD マザーボード | 修正されたBIOSバージョン |
|---|---|
| H13 MI300X(H13DSG-OM) | 影響なし |
| AMD サーバー | GPUファームウェアバンドル/BKC |
|---|---|
| H13 AS-8125GS-TNMR2 (H13DSG-OM) | v 24.12 |
修復:
- 影響を受けるすべてのSupermicro マザーボードSKUは、この潜在的な脆弱性を軽減するためにGPUファームウェアのアップデートが必要です。
- この潜在的な脆弱性を軽減するために、更新された GPU ファームウェアが作成されました。Supermicro 現在、影響を受ける製品のテストと検証を行っています。解決方法については、リリースノートをご確認ください。