AMD Ryzenの脆弱性(Moderate: CVE-2023-20593 (Zenbleed) )

07/25/2023にAMD Ryzenの脆弱性(Moderate: CVE-2023-20593 Zenbleed)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

• CVE-2023-20593
  • 影響する製品
    • AMD EPYC 7002
    • AMD Ryzen 3000 Series Desktop Processors ”Matisse”
    • AMD Ryzen 4000 Series Desktop Processors with Radeon Graphics ”Renoir” AM4
    • AMD Ryzen Threadripper 3000 Series Processors ”Castle Peak” HEDT
    • AMD Ryzen Threadripper PRO 3000WX Series Processors ”Castle Peak” WS SP3
    • AMD Ryzen 5000 Series Mobile Processors with Radeon Graphics ”Lucienne”
    • AMD Ryzen 4000 Series Mobile Processors with Radeon Graphics ”Renoir”
    • AMD Ryzen 7020 Series Processors ”Mendocino” FT6
  • 一次情報源
    • AMD-SB-7008(Cross-Process Information Leak)
    • Zenbleed by Tavis Ormandy
  • Priority
    • Vendor: Moderate
  • CVSS Score / CVSS Vector
    • N/A

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20593
  • 機密情報開示の可能性
  • Zen2 CPUの問題により、特定のマイクロアーキテクチャ環境の下では、攻撃者が機密情報にアクセスできる可能性があります。
  • 一次情報源(Zenbleed by Tavis Ormandy)に詳しい説明と、概念のアニメーションがあります。

PoC/Exploit

• 一次情報源にExploitコードが紹介されています。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2023-20593
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2023-20593
• Ubuntu
  • https://ubuntu.com/security/CVE-2023-20593
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2023-20593.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

• AMD-SB-7008(Cross-Process Information Leak)
• Zenbleed by Tavis Ormandy