Bulletins de sécurité

AMD a signalé une faille dans son micrologiciel qui aurait pu permettre à un hyperviseur malveillant d'ordonner à l'IOMMU d'écrire dans la mémoire invitée des instances AMD SEV-SNP, ce qui aurait compromis l'intégrité des données invitées. Google a déployé une mesure d'atténuation pour les instances Confidential VM vulnérables avec AMD SEV-SNP activé.

Que dois-je faire ?

Aucune action n'est requise de la part du client. La mesure d'atténuation a déjà été appliquée aux instances Confidential VM avec AMD SEV-SNP activé.

Pour en savoir plus, consultez l'avis AMD AMD-SB-3016.

CVE-2023-20585

Des chercheurs ont découvert une faille dans le micrologiciel AMD qui pourrait permettre à un hyperviseur malveillant de modifier les paramètres du BIOS et les configurations de routage des E/S mappées en mémoire (MMIO), compromettant ainsi la confidentialité et l'intégrité de Confidential VMs avec des invités AMD SEV-SNP.

Google a mis en place une mesure d'atténuation pour éviter ce problème.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des mesures d'atténuation ont déjà été appliquées aux instances Confidential VM avec AMD SEV-SNP.

Quelles failles sont corrigées ?

Pour en savoir plus, consultez l'avis AMD AMD-SB-3034.

Un ensemble de failles de sécurité affecte le micrologiciel Intel® TDX. Ces failles englobent divers défauts, y compris des conditions de concurrence (CVE-2025-30513, CVE-2025-31944), des lectures hors limites (CVE-2025-32007, CVE-2025-27940), l'utilisation d'une variable non initialisée (CVE-2025-32467) et l'exposition d'informations sensibles lors de l'exécution transitoire (CVE-2025-27572). Ensemble, ces problèmes peuvent permettre la divulgation d'informations, l'élévation de privilèges ou le déni de service. L'exploitation nécessite généralement un accès utilisateur privilégié au système.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Tous les correctifs pertinents ont été appliqués à la flotte de serveurs Google. Pour en savoir plus, consultez l'avis technique du PSIRT d'Intel INTEL-TA-01397.

• CVE-2025-30513
• CVE-2025-31944
• CVE-2025-32007
• CVE-2025-32467
• CVE-2025-27572
• CVE-2025-27940

Une faille a été découverte dans l'instruction RDSEED des processeurs AMD Zen 5 (Turin). Cette instruction permet de générer des nombres aléatoires cryptographiques. Dans certaines conditions de charge du système, les versions 16 et 32 bits de RDSEED peuvent échouer silencieusement, ce qui pourrait compromettre les applications reposant sur la génération de nombres aléatoires. Les clients qui utilisent la version 64 bits de RDSEED ne sont pas concernés.

Que dois-je faire ?

AMD étudie cette faille.

Il est important de noter que le noyau Linux 64 bits utilise la version sécurisée 64 bits de l'instruction RDSEED, qui alimente les nombres aléatoires obtenus à partir de /dev/[u]random. Ces nombres aléatoires ne sont pas concernés par cette faille.

Si vous avez du code d'application qui synthétise lui-même des nombres aléatoires à l'aide de l'instruction RDSEED, sachez que les versions 16 bits et 32 bits de l'instruction ne sont pas sécurisées. La version 64 bits de l'instruction est sécurisée.

Quelles failles sont corrigées ?

Cette faille permet à un pirate informatique de provoquer l'échec silencieux de RDSEED, ce qui peut compromettre la génération de nombres aléatoires dans les applications.

Google a découvert une faille dans les processeurs AMD basés sur Zen qui affecte les instances Confidential VM avec AMD SEV-SNP activé. Cette faille permet aux pirates informatiques disposant d'un accès root à une machine physique de compromettre la confidentialité et l'intégrité de l'instance Confidential VM.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Les clients qui souhaitent vérifier le correctif peuvent consulter la version de la base de calcul sécurisée (TCB) dans le rapport d'attestation de leur instance Confidential VM avec AMD SEV-SNP. Les versions minimales qui atténuent cette faille sont les suivantes :

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Pour en savoir plus, consultez le bulletin de sécurité AMD AMD-SB-3019.

CVE-2024-56161

AMD a informé Google de trois nouvelles failles de micrologiciel (deux à risque moyen et une à risque élevé) affectant SEV-SNP dans les processeurs AMD EPYC de 3e génération (Milan) et de 4e génération (Genoa).

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google.

Pour en savoir plus, consultez l'avis de sécurité AMD AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Le 13 février 2024, AMD a divulgué deux failles affectant SEV-SNP sur les processeurs EPYC basés sur les cœurs Zen de troisième génération "Milan" et de quatrième génération "Genoa". Les failles permettent aux pirates informatiques privilégiés d'accéder à des données obsolètes provenant d'invités ou d'entraîner une perte d'intégrité des invités.

Google a appliqué des correctifs aux composants concernés, y compris Google Cloud, pour s'assurer que les clients sont protégés. Pour le moment, aucune preuve d'exploitation n'a été trouvée ni signalée à Google.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Des correctifs ont déjà été appliqués à la flotte de serveurs Google pour Google Cloud, y compris Compute Engine.

Pour en savoir plus, consultez l'avis de sécurité AMD  AMD-SN-3007.

CVE-2023-31346

CVE-2023-31347