セキュリティに関する公開情報

AMD Zen 5 プロセッサ（Turin）の RDSEED 命令に欠陥が発見されました。この命令は、暗号論的に安全な乱数を生成するために使用されます。特定のシステム負荷条件下では、RDSEED の 16 ビット版と 32 ビット版がサイレントに失敗する可能性があり、乱数生成に依存するアプリケーションが損なわれる可能性があります。64 ビット バージョンの RDSEED を使用しているお客様は影響を受けません。

必要な対策

AMD はこの脆弱性を調査しています。

64 ビットの Linux カーネルは RDSEED 命令の安全な 64 ビット バージョンを使用し、/dev/[u]random から取得した乱数をフィードしていることに注意してください。これらの乱数は、この脆弱性の影響を受けません。

RDSEED 命令を使用して乱数を合成するアプリケーション コードがある場合は、この命令の 16 ビット版と 32 ビット版は安全でないことに注意してください。64 ビット版の命令は安全です。

対処されている脆弱性

この脆弱性により、攻撃者は RDSEED をサイレントに失敗させ、アプリケーションでの乱数生成を損なう可能性があります。

Google は、AMD SEV-SNP が有効になっている Confidential VM インスタンスに影響する AMD Zen ベース CPU の脆弱性を発見しました。この脆弱性により、物理マシンで root 権限を持つ攻撃者が Confidential VM インスタンスの機密性と完全性を侵害する可能性があります。

Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、悪用された形跡はなく、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。修正を確認したい場合は、AMD SEV-SNP を使用する Confidential VM インスタンスの証明書レポートでトラステッド コンピューティング ベース（TCB）のバージョンを確認できます。この脆弱性を回避する最小バージョンは次のとおりです。

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

詳細については、AMD のセキュリティに関する公開情報 AMD-SB-3019 をご覧ください。

CVE-2024-56161

AMD は、AMD EPYC 第 3 世代（Milan）と第 4 世代（Genoa）CPU の SEV-SNP に影響を与える 3 つの新しいファームウェアの脆弱性（2 つは中程度のリスク、1 つは高リスク）を Google に通知しました。

Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。Google サーバー フリートにはすでに修正が適用されています。

詳細については、AMD セキュリティ アドバイザリ AMD-SN-3011 をご覧ください。

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスする可能性や、ゲストの完全性を失わせる可能性があります。

Google では、お客様を保護するため、 Google Cloudを含む影響を受けるアセットに修正を適用しています。現時点では、悪用された形跡はなく、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。Compute Engine を含む Google Cloudの Google サーバー フリートには、すでに修正が適用されています。

詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。

CVE-2023-31346

CVE-2023-31347