AMD EPYC: fuite de sécurité critique dans le serveur CPU 11 Commentaires
Image: AMD
Les chercheurs de Google Security ont informé AMD d'une lacune de sécurité dans ses processeurs de serveurs. Un attaquant local pourrait charger le code du firmware endommagé via un contrôle de signature inapproprié. Cependant, cela nécessite des droits de l'administrateur. Néanmoins, le risque est classé comme « élevé ».
Selon AMD, la fuite de sécurité, qui est maintenant fermée par mise à jour du micrologiciel, avec l'identification CVE-2024-56161, concerne la série EPYC 7001 (Naples), EPYC 7002 (Rome), EPYC 7003 (Milan, Milan-X) et EPYC 9004 (Milan, Milan, Milan, Milan, Milan, Gênes, Génoa-X, Bergame, Sienne). Les processeurs des architectures zen 1 à zen 4 sont donc affectés. Les noyaux EPYC 7005 et 9005 actuels avec des noyaux Zen-5 ne sont pas en dessous.
Une mauvaise vérification de la signature dans le chargeur de correctifs de microcode ROM AMD CPU peut permettre à un attaquant avec un privilège administrateur local de charger un microcode de CPU malveillant entraînant une perte de confidentialité et une intégrité d'un invité confidentiel fonctionnant sous AMD SEV-SNP.
DMLA
Google Security a déjà signalé la fuite en septembre
Des chercheurs de l'équipe de sécurité de Google avaient déjà enregistré le point faible en septembre 2024 à AMD. Comme d'habitude, le silence a été maintenu afin que les attaquants potentiels ne le découvrent pas.
Une solution suivie en décembre
Le 17 décembre, AMD a finalement fourni à ses clients commerciaux une mise à jour du micrologiciel avec laquelle le point faible a été fermé. Pour que cette fois ait dû jouer la mise à jour, l'écart de sécurité n'a été rendu public que le 3 février 2025.
Cependant, les chercheurs de Google n'ont pas encore révélé tous les détails et ne souhaitent le faire que le 5 mars pour accorder plus de temps pour consolider les systèmes.
En raison de la vaste chaîne d'approvisionnement, de la séquence et de la coordination, qui sont nécessaires pour remédier à ce problème, nous n'annoncerons pas tous les détails pour donner aux utilisateurs le temps de restaurer la compensation confidentielle. Nous annoncerons plus de détails et d'outils le 5 mars 2025.
Google Security Team
Sujets: Source du serveur de processeur AMD EPYC Source: GitHub, AMD
Marc décrypte les processeurs en testant leurs performances pour le gaming, la création de contenu et l’intelligence artificielle.
