Sicherheitsbulletins

In der RDSEED-Anweisung in AMD Zen 5-Prozessoren (Turin) wurde eine Sicherheitslücke entdeckt. Mit dieser Anweisung werden kryptografische Zufallszahlen generiert. Unter bestimmten Systemlastbedingungen können die 16- und 32-Bit-Versionen von RDSEED ohne Fehlermeldung fehlschlagen, was Anwendungen, die auf die Generierung von Zufallszahlen angewiesen sind, beeinträchtigen kann. Kunden, die die 64-Bit-Version von RDSEED verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

AMD untersucht die Sicherheitslücke.

Der 64-Bit-Linux-Kernel verwendet die sichere 64-Bit-Version des RDSEED-Befehls, der die Zufallszahlen aus /dev/[u]random liefert. Diese Zufallszahlen sind von dieser Sicherheitslücke nicht betroffen.

Wenn Sie Anwendungscode haben, der selbst Zufallszahlen mit dem RDSEED-Befehl generiert, beachten Sie, dass die 16-Bit- und 32-Bit-Versionen des Befehls unsicher sind. Die 64-Bit-Version der Anweisung ist sicher.

Welche Sicherheitslücken werden behoben?

Diese Sicherheitslücke ermöglicht es einem Angreifer, RDSEED zum stillen Fehlschlagen zu bringen, was möglicherweise die Zufallszahlengenerierung in Anwendungen beeinträchtigt.

Google hat eine Sicherheitslücke in AMD Zen-basierten CPUs entdeckt, die sich auf Confidential VM-Instanzen mit aktiviertem AMD SEV-SNP auswirkt. Diese Sicherheitslücke ermöglicht es Angreifern mit Root-Zugriff auf eine physische Maschine, die Vertraulichkeit und Integrität der Confidential VM-Instanz zu gefährden.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Kunden, die die Problembehebung nachvollziehen möchten, können die TCB-Version (Trusted Computing Base) im Attestierungsbericht ihrer Confidential VM-Instanz mit AMD SEV-SNP prüfen. Verwenden Sie mindestens folgende Versionen, um die Auswirkungen dieser Sicherheitslücke zu minimieren:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Weitere Informationen finden Sie im AMD-Sicherheitsbulletin AMD-SB-3019.

CVE-2024-56161

AMD hat Google über drei neue Firmware-Sicherheitslücken (2 mit mittlerem Risiko, 1 mit hohem Risiko) informiert, die SEV-SNP in AMD EPYC-CPUs der 3. Generation (Milan) und der 4. Generation (Genoa) betreffen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder entsprechende Meldungen an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Korrekturen wurden bereits auf die Google-Serverflotte angewendet.

Weitere Informationen finden Sie in der AMD-Sicherheitsempfehlung AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Am 13. Februar 2024 legte AMD zwei Sicherheitslücken offen, die SEV-SNP auf EPYC-CPUs betreffen, die auf Zen-Kernen der dritten Generation („Milan“) und der vierten Generation („Genoa“) basieren. Die Sicherheitslücken ermöglichen es Angreifern mit privilegierten Rechten, auf alte Daten von Gästen zuzugreifen oder die Integrität von Gästen zu beeinträchtigen.

Google hat Korrekturen für betroffene Assets, einschließlich Google Cloud, vorgenommen, um Kunden zu schützen. Derzeit gibt es keine Hinweise auf eine Ausnutzung oder Berichte darüber an Google.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloudangewendet, einschließlich Compute Engine.

Weitere Informationen finden Sie in der AMD-Sicherheitsempfehlung AMD-SN-3007.

CVE-2023-31346

CVE-2023-31347