AMD Zen 2 CPU の脆弱性について
覚え書きとして記しておく。
CVE-2023-20593 Cross-Process Information Leak
An issue in “Zen 2” CPUs, under specific microarchitectural circumstances, may allow an attacker to potentially access sensitive information.
発見者は “Zenbleed” と名付けているようだ。
発見者の記事によると対象となるプロセッサは以下の通り。
- AMD Ryzen 3000 Series Processors
- AMD Ryzen PRO 3000 Series Processors
- AMD Ryzen Threadripper 3000 Series Processors
- AMD Ryzen 4000 Series Processors with Radeon Graphics
- AMD Ryzen PRO 4000 Series Processors
- AMD Ryzen 5000 Series Processors with Radeon Graphics
- AMD Ryzen 7020 Series Processors with Radeon Graphics
- AMD EPYC “Rome” Processors
この脆弱性は2023年5月には AMD に報告されている。
とりあえずの回避策として脆弱性に対応した microcode がリリースされている。
Ubuntu でも APT で提供済みで,手元のマシンではすでに対応した(amd64-microcode ってパッケージがそれ)。
- kernel/git/firmware/linux-firmware.git - Repository of firmware blobs for use with the Linux kernel
- USN-6244-1: AMD Microcode vulnerability | Ubuntu security notices | Ubuntu
ファームウェアの改修は2023年末まで待つ必要があるらしい。
プロセッサ ファームウェア 時期 Ryzen 3000(Matisse) ComboAM4v2PI_1.2.0.C
ComboAM4PI_1.0.0.C2023年12月目標 Ryzen 4000(Renoir) ComboAM4v2PI_1.2.0.C 2023年12月目標 Ryzen Threadripper 3000(Castle Peak) CastlePeakPI-SP3r3 1.0.0.A 2023年10月目標 Ryzen Threadripper PRO 3000WX(Castle Peak WS SP3) CastlePeakWSPI-sWRX8
ChagallWSPI-sWRX8 1.0.0.7 1.0.0.C2023年11月目標 Ryzen 5000(Lucienne、モバイル) CezannePI-FP6_1.0.1.0 2023年12月目標 Ryzen 4000(Renoir、モバイル) RenoirPI-FP6_1.0.0.D 2023年11月目標 Ryzen 7020(Mendocino、モバイル) MendocinoPI-FT6_1.0.0.6 2023年12月目標
忘れそうだな(笑)