Los AMD EPYC reciben un parche para solucionar 22 problemas de vulnerabilidad

Hoy es cuando conocemos que los AMD EPYC tenían un problema de seguridad que derivaba en nada menos que 22 vulnerabilidades distintas. Este anuncio ha tenido lugar una vez la compañía ha lanzado un parche para solventar el problema, por lo que AMD fue avisada con antelación ofreciéndole el ya característico tiempo de gracia para solventar el problema antes de que se divulgara el problema de forma pública dejando desprotegidos a millones de servidores.

Todas estas vulnerabilidades están catalogadas como de riesgo medio a alto

, y afecta a todas las generaciones de CPUs AMD EPYC, es decir, a Naples, Rome y Milan.

"Durante las revisiones de seguridad en colaboración con Google, Microsoft y Oracle, se descubrieron posibles vulnerabilidades en el procesador de seguridad de la plataforma de AMD (PSP), la unidad de gestión del sistema de AMD (SMU), la virtualización cifrada segura de AMD (SEV) y otros componentes de la plataforma, que se han mitigado en los paquetes de AMD EPYC AGESA PI", dijo AMD.

Como punto negativo, es que este parche llega por medio de una actualización de firmware AGESA, por lo que los administradores tendrán algo de trabajo extra para blindar todos sus servidores. Las versiones de AGESA NaplesPI-SP3_1.0.0.G, RomePI-SP3_1.0.0.C y MilanPI-SP3_1.0.0.4, son las que corrigen los 22 agujeros de seguridad.

"AMD agradece a los siguientes por informar de estos problemas y participar en la divulgación coordinada de la vulnerabilidad.

Informado por Oracle y descubierto por el investigador de seguridad interno de Oracle Hugo Magalhaes: CVE-2020-12954, CVE-2020-12961, CVE-2021-26329, CVE-2021-26330, CVE-2021-26331.

Reportado por Oracle y descubierto por el investigador de seguridad interno de Oracle Volodymyr Pikhur: CVE-2020-12988.

Reportado por Shawn Hoffman (Microsoft Offensive Security Research): CVE-2021-26315, CVE-2021-26335, CVE-2021-26336, CVE-2021-26337, CVE-2021-26338.

Informado por Cfir Cohen, Jann Horn, Mark Brand de Google: CVE-2020-12944, CVE-2020-12946, CVE-2020-12951, CVE-2021-26312, CVE-2021-26320, CVE-2021-26321, CVE-2021-26322, CVE-2021-26323, CVE-2021-26325, CVE-2021-26326, CVE-2021-26327."

vía: AMD