【误差通告】AMD Zen2 CPU信息泄露误差(CVE-2023-20593)

宣布时间 2023-07-25

一、误差概述

CVE   ID

CVE-2023-20593

发明时间

2023-07-25

类    型

信息泄露

等    级

中危

攻击向量

外地

所需权限

攻击重漂后

用户交互

PoC/EXP

已果真

在野使用

未发明

 

Zen 2是AMD推出的第三代Ryzen处置惩罚器架构,,,它接纳了全新的设计来提升处置惩罚器性能和能效。。。。。

7月25日,,,鉴黑担保网VSRC监测到AMD Zen2 CPU中保存一个信息泄露误差(CVE-2023-20593,,,被称为Zenbleed),,,现在该误差的细节及 PoC/EXP已经果真。。。。。

在特定的微架构情形下,,,Zen2 CPU 中的寄存器可能无法准确写入0,,,这可能会导致来自另一个历程或线程的数据存储在 YMM 寄存器中,,,威胁者可以使用该误差以每个 CPU 内核每秒 30KB 的速率窃取密码和加密密钥等敏感数据。。。。。

  

二、影响规模

该误差影响所有系统上运行的AMD Zen 2 处置惩罚器,,,至少包括以下系列:

AMD 锐龙 3000 系列处置惩罚器

AMD 锐龙 PRO 3000 系列处置惩罚器

AMD 锐龙 Threadripper 3000 系列处置惩罚器

配备 Radeon 显卡的 AMD Ryzen 4000 系列处置惩罚器

AMD 锐龙 PRO 4000 系列处置惩罚器

配备 Radeon 显卡的 AMD Ryzen 5000 系列处置惩罚器

配备 Radeon 显卡的 AMD Ryzen 7020 系列处置惩罚器

AMD EPYC “Rome” 处置惩罚器


三、清静步伐

3.1 升级版本

AMD 已针对受影响的处置惩罚器宣布了微码更新。。。。。受影响用户可应用AMD的新微码更新,,,或者期待您的盘算机供应商在未来的BIOS更新中提供修复程序。。。。。

下载链接:

https://git.kernel.org/pub/scm/linux/kernel/git/firmware/linux-firmware.git/commit/?id=0bc3126c9cfa0b8c761483215c25382f831a7c6f

3.2 暂时步伐

建议使用微码更新。。。。。

若是由于某些缘故原由无法应用更新,,,有一个缓解要领(可能导致CPU性能下降):可以设置chicken bit DE_CFG[9]。。。。。

Linux

可以使用 msr-tools 在所有内核上设置 chicken bit,,,如下所示:

# wrmsr -a 0xc0011029 $(($(rdmsr -c 0xc0011029) | (1<<9)))

FreeBSD

在 FreeBSD 上,,,您可以使用 cpucontrol(8)。。。。。

其他操作系统:

若是您使用的是其他操作系统,,,但不知道怎样设置 MSR,,,可向供应商追求资助。。。。。请注重,,,禁用 SMT 是不敷的。。。。。

3.3 通用建议

l  按期更新系统补丁,,,镌汰系统误差,,,提升效劳器的清静性。。。。。

l  增强系统和网络的会见控制,,,修改防火墙战略,,,关闭非须要的应用端口或效劳,,,镌汰将危险效劳(如SSH、RDP等)袒露到公网,,,镌汰攻击面。。。。。

l  使用企业级清静产品,,,提升企业的网络清静性能。。。。。

l  增强系统用户和权限治理,,,启用多因素认证机制和最小权限原则,,,用户和软件权限应坚持在最低限度。。。。。

l  启用强密码战略并设置为按期修改。。。。。

3.4 参考链接

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html

https://lock.cmpxchg8b.com/zenbleed.html

https://www.bleepingcomputer.com/news/security/zenbleed-attack-leaks-sensitive-data-from-amd-zen2-processors/

 

四、版本信息

版本

日期

备注

V1.0

2023-07-25

首次宣布

 

五、附录

5.1 鉴黑担保网简介

鉴黑担保网建设于1996年,,,是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。。。。。是海内最具实力的信息清静产品、清静效劳解决计划的领航企业之一。。。。。

公司总部位于北京市中关村软件园鉴黑担保网大厦,,,公司员工6000余人,,,研发团队1200余人, 手艺效劳团队1300余人。。。。。在天下各省、市、自治区设立分支机构六十多个,,,拥有笼罩天下的销售系统、渠道系统和手艺支持系统。。。。。公司于2010年6月23日在深圳中小板挂牌上市。。。。。(股票代码:002439)

多年来,,,鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳,,,资助客户周全提升其IT基础设施的清静性和生产效能,,,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。。。

5.2 关于鉴黑担保网

鉴黑担保网清静应急响应中心已宣布1000多个误差通告和危害预警,,,我们将一连跟踪全球最新的网络清静事务和误差,,,为企业的信息清静保驾护航。。。。。

关注我们:

image.png