2023. július 24-én az AMD biztonsági közleményt adott ki, amely a Zen2 számítógépes processzor mikroarchitektúrájában található sebezhetőséget tárta fel. Az AMD által “Cross-Process Information Leak”-nek nevezett sebezhetőséget “Zenbleed” néven is ismerik. A CVE-2023-20593 címkével ellátott és az AMD által közepesnek minősített probléma lehetővé teszi a támadó számára, hogy bizonyos körülmények között hozzáférjen a CPU által feldolgozott érzékeny információkhoz. A probléma az AMD Zen2 alapú processzorokon futó összes szoftvert érinti, beleértve a virtuális gépeket, homokozó dobozokat, konténereket és folyamatokat. A kihasználó szoftver valószínűleg elérhető, és várhatóan hamarosan előfordulnak majd a sebezhetőségen alapuló támadások.
Minden AMD Zen2 CPU, beleértve az EPYC Rome processzorokat is, sebezhető:
- AMD Ryzen 3000 sorozatú processzorok
- AMD Ryzen PRO 3000 sorozatú processzorok
- AMD Ryzen Threadripper 3000 sorozatú processzorok
- AMD Ryzen 4000 sorozatú processzorok Radeon grafikával
- AMD Ryzen PRO 4000 sorozatú processzorok
- AMD Ryzen 5000 sorozatú processzorok Radeon grafikával
- AMD Ryzen 7020 sorozatú processzorok Radeon grafikával
- 2. generációs AMD EPYC “Rome” processzorok
A sebezhetőség eliminálása
Foltozott mikrokód betöltése indításkor firmware-csomag frissítésével
Ez a megoldás a processzor mikrokódjának frissítését az operációs rendszer frissítésével (például a linux-firmware csomaggal) indítja el. Ezt megteheti, amint az operációs rendszer szerkesztője vagy a közösség kiosztja a frissített csomagot. Ez a módszer a disztribúciótól vagy az operációs rendszer szerkesztőjétől függ, és csak akkor működik, ha a megfelelő mikrokódot az AMD biztosította. A mai napig csak a “Zen2 Rome” és a “Zen2 Castle Peak” esetében alkalmazható ez a módszer.
V### édekezés frissített rendszermaggal Ha a mikrokód frissítése nem érhető el egy firmware-frissítő csomagon keresztül, akkor a Kernel frissíthető egy olyan verzióval, amely egy úgynevezett “chicken bit” konfigurálásával megvalósítja a hibás processzorfunkció kikapcsolását. Ez hatással lehet a rendszer teljesítményére. Ezt a megoldást az operációs rendszerek szerkesztői akkor fogják beépíteni, amikor a Linux kernel új verzióját backportolják. Ügyfeleinknek azt javasoljuk, hogy elsősorban ezt a kárenyhítési stratégiát kövessék, mivel ez a leghatékonyabb, mivel nem függ attól, hogy a hardvergyártó biztosít-e frissített mikrokódot.
Alternatív megoldásként a “chicken bit” manuálisan is beállíthatja anélkül, hogy a kernel frissítésére hagyatkozna. Ezt a megoldást azonban nem ajánljuk, mivel kockázatos lehet a rendszerére nézve.
2023-07-25