Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: 22 Sicherheitslücken in "Epyc"-Serverprozessoren von AMD

Wer Server mit AMD-Epyc-Prozessoren betreibt, sollte dringend BIOS-Updates einspielen; einige Lücken sind zwei Jahre alt.
Unter der "Bulletin ID" AMD-SB-1021 listet AMD 22 Sicherheitslücken in Serverprozessoren der Baureihen Epyc 7001 (Naples), Epyc 7002 (Rome) und Epyc 7003 (Milan) auf. Die meisten betreffen den eingebauten AMD Platform Security Processor (PSP) oder die System Management Unit (SMU). Einige wirken sich auch auf die Speicherverschlüsselung Secure Encrypted Virtualization (SVE) aus, weil
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

Bei vier der Sicherheitslücken ist das Risiko als "hoch" angegeben, bei den restlichen als "mittel". Die meisten sind nicht aus der Ferne nutzbar, sondern setzen lokalen Zugriff auf den physischen Server voraus.

AMD hat neue Versionen der Firmware-Komponente AMD Generic Encapsulated Software Architecture (AGESA) für jede Epyc-Generation an die Hersteller von Servern und Mainboards verteilt, die diese nun in BIOS-Updates integrieren. Die AGESA-Versionen mit den Updates gegen die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
heißen NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C und MilanPI-SP3_1.0.0.4.

erfügbare BIOS-Updates​

Du musst dich Anmelden oder Registrieren um diesen link zusehen!



Die 22 Sicherhetslücken betreffen vor allem AMD PSP, SMU und SEV
Die folgenden Server- und Mainboard-Hersteller halten bereits BIOS-Updates mit den neuen AGESA-Versionen bereit:

Kritik von Experten​

Der Sicherheitsforscher Volodymyr Pikhur, dem AMD für die Meldung der Lücke CVE-2020-12988 dankt,
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Demnach sei "einer der schlechtesten Coordinated-Disclosure-Prozesse gewesen, an denen er beteiligt war". Einige der Sicherheitslücken hätten Hugo Magalhaes und er bereits 2019 an AMD gemeldet und es habe fast zwei Jahre gedauert, bis nun Patches erschienen.

Laut Pikhur ähnelt eine der Epyc-Schwachstellen der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, bei denen sich der Schreibschutz für den per SPI angebundenen NOR-Flash-Speicherchip für den BIOS-Code aushebeln lässt. Diese Speed-Racer-Lücke nutzt laut Sicherheitsforschern etwa das
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. LoJax wurde 2020
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

CVE-Nummern der mit AMD-SB-1021 veröffentlichten Sicherheitslücken:

  1. CVE-2020-12954
  2. CVE-2020-12961
  3. CVE-2021-26331
  4. CVE-2021-26335
  5. CVE-2021-26315
  6. CVE-2020-12946
  7. CVE-2020-12951
  8. CVE-2021-26336
  9. CVE-2021-26337
  10. CVE-2021-26338
  11. CVE-2021-26320
  12. CVE-2020-12944
  13. CVE-2020-12988
  14. CVE-2021-26329
  15. CVE-2021-26330
  16. CVE-2021-26321
  17. CVE-2021-26323
  18. CVE-2021-26325
  19. CVE-2021-26326
  20. CVE-2021-26322
  21. CVE-2021-26327
  22. CVE-2021-26312
Quelle: heise
 
Alert! Alert! Alert! Alert! Alaaarm!
Warum steht hier ständig Alert!? :ROFLMAO:
 
Weil es sich um sicherheitsrelevante alarm-meldungen handelt.
 
Zurück
Oben