Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Die Zenbleed-Schwachstelle: Wie Sie Ihre Zen 2-CPUs schützen können
Tim Walker
Juli 26, 2023 - Senior Content Writer
Einige Informationen in diesem Blogbeitrag stammen aus einem Artikel von Tom's Hardware sowie einem Beitrag von Tavis Ormandyder die Sicherheitslücke entdeckt hat.
TuxCare-Kunden, die bestimmte Zen 2-Prozessoren verwenden, sind möglicherweise von einer Sicherheitslücke namens Zenbleed betroffen, die zur Offenlegung sensibler Daten führen kann. Bitte lesen Sie diesen Blog-Beitrag, um mehr über diese Sicherheitslücke und deren Behebung zu erfahren, und stellen Sie sicher, dass Sie sich über eventuelle Updates informieren.
Der aktuelle Status von Zenbleed
Tavis Ormandy, ein Mitglied des Google Information Security-Teams, hat soeben kritische Details über eine bisher unbekannte Sicherheitslücke in AMDs Zen-2-Prozessoren veröffentlicht. Die "Zenbleed"-Schwachstelle betrifft die gesamte Zen 2-Reihe, sogar AMDs EPYC-Chips für Rechenzentren, und schafft ein Einfallstor für unbefugten Zugriff auf wichtige Daten innerhalb der CPU, einschließlich Verschlüsselungsschlüssel und Benutzeranmeldeinformationen. Bemerkenswerterweise erfordert der Angriff keinen physischen Eingriff und kann über JavaScript auf einer Webseite gestartet werden.
Ormandy berichtet dass AMD eine Firmware-Lösung für die von dieser Sicherheitslücke betroffenen Systeme entwickelt hat. Es ist jedoch ungewiss, ob die neuen Linux-Firmwares, bei denen unerklärliche Änderungen festgestellt wurden, diese Patches enthalten.
Laut Tom's Hardwarehat AMD bestätigt, dass Patches zur Behebung des Zenbleed-Fehlers für EPYC Rome-Prozessoren verfügbar sind. AMD hat jedoch nicht geklärt, ob diese Patches auch für Ryzen-CPUs, die von dem Problem betroffen sind, zur Verfügung stehen. Fragen zu den potenziellen Leistungseffekten der Zenbleed-Patches und dem Zeitplan für die Veröffentlichung der Ryzen-Patches bleiben unbeantwortet.
Wir werden diesen Blog-Beitrag aktualisieren, sobald wir neue sachdienliche Informationen erhalten.
Was sind die Risiken von Zenbleed?
Die als CVE-2023-20593 registrierte Zenbleed-Schwachstelle ermöglicht den Datendiebstahl mit einer Rate von 30 KB pro Kern und Sekunde und schafft so einen effizienten Weg, um sensible Daten abzuschöpfen, die von der CPU verarbeitet werden. Die Bedrohung ist universell und betrifft die gesamte Software, die auf dem betroffenen Prozessor läuft, einschließlich virtueller Maschinen, Sandboxen, Container und Prozesse. Die Fähigkeit dieses Angriffs, Daten über virtuelle Maschinen hinweg zu extrahieren, ist für Anbieter und Nutzer von Cloud-Diensten äußerst bedenklich.
Alle Zen-2-CPUs, einschließlich der EPYC-Rome-Prozessoren, sind laut Ormandy anfällig:
- AMD Ryzen 3000 Serie Prozessoren
- AMD Ryzen PRO 3000 Serie Prozessoren
- AMD Ryzen Threadripper 3000 Serie Prozessoren
- AMD Ryzen 4000 Serie Prozessoren mit Radeon Grafik
- AMD Ryzen PRO 4000 Serie Prozessoren
- AMD Ryzen 5000 Serie Prozessoren mit Radeon Grafik
- AMD Ryzen-Prozessoren der Serie 7020 mit Radeon-Grafik
- AMD EPYC "Rom" Prozessoren
Die Schwachstelle kann durch die Ausführung von beliebigem Code ohne Privilegien ausgenutzt werden. Ormandy hat ein Repository mit Sicherheitsforschung und Exploit-Code zur Verfügung gestellt. Der Exploit funktioniert, indem die Registerdateien manipuliert werden, um einen falschen Befehl auszulösen.
Ormandy bestätigt, dass die Schwachstelle durch Software für verschiedene Betriebssysteme behoben werden kann (z. B. Windows - "Sie können das Chicken Bit DE_CFG[9] setzen"). Dies kann jedoch mit Leistungseinbußen verbunden sein. Ormandy rät, sich das Microcode-Update zu besorgen, aber wir warten noch auf Details zur Verfügbarkeit der Firmware.
Was ist die Lösung?
Laut Ormandy hat AMD ein Microcode-Update für die betroffenen Prozessoren veröffentlicht, das Sie hier finden können hier.
"Ihr BIOS- oder Betriebssystemhersteller hat möglicherweise bereits ein Update zur Verfügung, das diese Funktion beinhaltet.
Für Benutzer von KernelCare Enterprise, folgen Sie unserer Dokumentation zur Aktualisierung des Microcodes für die von Ihnen verwendete Linux-Distribution.
Obwohl es sehr empfehlenswert ist, das Microcode-Update zu verwenden, bietet Ormandy eine Umgehung an:
"Wenn Sie das Update aus irgendeinem Grund nicht anwenden können, gibt es eine Software-Umgehung: Sie können das Chicken Bit DE_CFG[9] setzen. Dies kann zu Leistungseinbußen führen."
Unter Linux können Sie die msr-tools verwenden, um das Chicken-Bit auf allen Kernen zu setzen, etwa so:
# wrmsr -a 0xc0011029 $(($(rdmsr -c 0xc0011029) | (1<<9)))
