Les processeurs AMD EPYC souffraient d’un problème de vulnérabilité sur pas moins de 22 problèmes découverts. C’est AMD qui l’annonce sur son site tout en publiant un correctif. Cela concerne toutes les générations de processeurs EPYC : Naples, Rome et Milan. Les vulnérabilités n’étaient à priori pas connues et AMD a tout de même dévoilé que celles-ci étaient classées comme à risque moyen à élevé.
22 problèmes de vulnérabilité corrigés via la mise à jour du micrologiciel AGESA pour les serveurs AMD EPYC
« Au cours des examens de sécurité en collaboration avec Google, Microsoft et Oracle, des vulnérabilités potentielles ont été découvertes dans le processeur de sécurité de la plate-forme AMD (PSP), l’unité de gestion du système AMD (SMU), la virtualisation cryptée sécurisée d’AMD (SEV) et d’autres composants de la plate-forme, qui ont été atténués dans les packages AMD EPYC AGESA PI »
A déclaré AMD.
La résolution des vulnérabilités se fait via la mise à jour du micrologiciel AGESA, ce qui ne permet pas un déploiement global via le réseau, mais nécessite de le faire serveur par serveur. Il faudra prendre les versions AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C et MilanPI-SP3_1.0.0.4.
« AMD remercie les personnes suivantes d’avoir signalé ces problèmes et d’avoir participé à la divulgation coordonnée des vulnérabilités.
– Rapporté par Oracle et découvert par le chercheur en sécurité interne d’Oracle Hugo Magalhaes : CVE-2020-12954, CVE-2020-12961, CVE-2021-26329, CVE-2021-26330, CVE-2021-26331.
– Rapporté par Oracle et découvert par le chercheur en sécurité interne d’Oracle Volodymyr Pikhur : CVE-2020-12988.
– Rapporté par Shawn Hoffman (Microsoft Offensive Security Research) : CVE-2021-26315, CVE-2021-26335, CVE-2021-26336, CVE-2021-26337, CVE-2021-26338.
– Rapporté par Cfir Cohen, Jann Horn, marque de Google : CVE-2020-12944, CVE-2020-12946, CVE-2020-12951, CVE-2021-26312, CVE-2021-26320, CVE-2021-26321, CVE – 2021-26322, CVE-2021-26323, CVE-2021-26325, CVE-2021-26326, CVE-2021-26327. «
