AMD EPYCに脆弱性。リモートコード実行や権限昇格の恐れ。第1~3世代に影響。第1~2世代は修正なし
AMDは、同社製サーバー向けCPUとなるEPYCシリーズに脆弱性があることを発表しました。
見つかったのはCacheWarp (CVE-2023-20592)と呼ばれる脆弱性。AMDの発表によると、この脆弱性によりゲスト仮想マシン(VM)のメモリの整合性が失われる恐れがあるとのこと。
この脆弱性を見つけたグラーツ工科大学やCISPAなどの研究者らによると、具体的には仮想マシンでリモートコード実行や権限を昇格される恐れがあるとされています。
CacheWarpの影響を受けるのは以下のCPU。
- 第1世代EPYC 7001シリーズ (Zen / Naples)
- 第2世代EPYC 7002シリーズ (Zen 2 / Rome)
- 第3世代EPYC 7003シリーズ (Zen 3 / Milan)
第4世代EPYC (Zen 4 / Genoa)はこの影響を受けません。
AMDは現在、脆弱性の修正・緩和策の実装に取り組んでおり、2023年12月に第3世代EPYC 7003シリーズ用ファームウェアアップデートのリリースを予定しています。ファームウェアアップデートは、OEM、ODM、マザーボードメーカーより入手できるとし、詳細はこれらのメーカーに問い合わせるよう案内しています。
なお、第1世代EPYCと第2世代EPYCは修正されません。AMDによると、SEVおよびSEV-ES機能はゲスト仮想マシンのメモリの整合性を保護するように設計されておらず、SEV-SNPも使用できないため、第1~2世代EPYCで緩和はできないと述べています。