보안 게시판

AMD Zen 5 프로세서 (Turin)의 RDSEED 명령어에서 결함이 발견되었습니다. 이 명령어는 암호화 난수를 생성하는 데 사용됩니다. 특정 시스템 부하 조건에서 16비트 및 32비트 버전의 RDSEED가 자동으로 실패할 수 있으며, 이로 인해 난수 생성에 의존하는 애플리케이션이 손상될 수 있습니다. 64비트 버전의 RDSEED를 사용하는 고객은 영향을 받지 않습니다.

어떻게 해야 하나요?

AMD에서 취약점을 조사하고 있습니다.

64비트 Linux 커널은 안전한 64비트 버전의 RDSEED 명령어를 사용하며 이는 /dev/[u]random에서 가져온 난수를 제공합니다. 이러한 임의의 숫자는 이 취약점의 영향을 받지 않습니다.

RDSEED 명령어를 사용하여 난수를 자체적으로 합성하는 애플리케이션 코드가 있는 경우 명령어의 16비트 및 32비트 버전은 안전하지 않습니다. 명령어의 64비트 버전은 안전합니다.

해결되는 취약점은 무엇인가요?

이 취약점으로 인해 공격자가 RDSEED가 자동으로 실패하도록 할 수 있으며, 이로 인해 애플리케이션에서 난수 생성이 손상될 수 있습니다.

Google은 AMD SEV-SNP가 사용 설정된 컨피덴셜 VM 인스턴스에 영향을 미치는 AMD Zen 기반 CPU의 취약점을 발견했습니다. 이 취약점으로 인해 실제 머신에서 루트 액세스 권한을 가진 공격자가 컨피덴셜 VM 인스턴스의 기밀성과 무결성을 손상시킬 수 있습니다.

Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 익스플로잇의 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 수정사항을 확인하려는 고객은 AMD SEV-SNP를 사용하는 컨피덴셜 VM 인스턴스의 증명 보고서에서 신뢰할 수 있는 컴퓨팅 기반(TCB) 버전을 확인할 수 있습니다. 이 취약점을 완화하는 최소 버전은 다음과 같습니다.

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

자세한 내용은 AMD 보안 게시판 AMD-SB-3019를 참고하세요.

CVE-2024-56161

AMD는 AMD EPYC 3세대 (Milan) 및 4세대 (Genoa) CPU의 SEV-SNP에 영향을 미치는 3가지 새로운 펌웨어 취약점 (위험도 중간 2개, 위험도 높음 1개)에 대해 Google에 알렸습니다.

Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 익스플로잇의 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 수정사항은 이미 Google 서버 Fleet에 적용되었습니다.

자세한 내용은 AMD 보안 권고 AMD-SN-3011을 참고하세요.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

2024년 2월 13일 AMD는 3세대 'Milan'과 4세대 'Genoa' Zen 코어를 기반으로 EPYC CPU에서 SEV-SNP에 영향을 주는 두 가지 취약점을 공개했습니다. 이 취약점으로 인해 권한을 얻은 공격자가 게스트에서 오래된 데이터에 액세스하거나 게스트 무결성 손실을 일으킬 수 있습니다.

Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 익스플로잇의 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. Compute Engine을 포함한 Google Cloud용 Google 서버 Fleet에 수정사항이 이미 적용되었습니다.

자세한 내용은 AMD 보안 권고 AMD-SN-3007을 참고하세요.

CVE-2023-31346

CVE-2023-31347