Fontos biztonsági frissítés az linux-firmware csomagban: új AMD mikrokódok és SEV javítások

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A 2025. március 11-én megjelent linux-firmware, de az Ubuntu világba csak most lecsurgó amd64-firmware frissítés jelentős változtatásokat tartalmaz az AMD processzorokat érintő biztonság és stabilitás terén. Több új mikrokódot vezettek be a Zen2, Zen3 és Zen4 alapú CPU-khoz, valamint frissítették az SEV (Secure Encrypted Virtualization) firmware-t is, különös tekintettel a CVE-2024-56161 és CVE-2023-20584 biztonsági sebezhetőségek javítására.

Új és frissített mikrokódok AMD processzorokhoz

A mikrokód (microcode) frissítése lehetővé teszi, hogy a processzor belső működését – hardveres újratervezés nélkül – szoftveresen módosítsák vagy javítsák. Ez különösen fontos a hardveres biztonsági hibák esetén. A mostani frissítés az alábbi AMD CPU-családokat érinti:

  • Zen (17h) család új patchekkel: pl. 0x0860010d, 0x08608108, stb.
  • Zen2/Zen3/Zen4 (19h) számos új mikrokóddal: pl. 0x0a108108 (19h:18h), 0x0a404107 (19h:44h), 0x0a705206 (19h:75h), stb.
  • Frissített mikrokód a 17h:a0h családhoz: patch 0x08a0000a

Ezek a mikrokódfrissítések nemcsak teljesítménybeli optimalizálásokat hozhatnak, hanem hibajavításokat és új biztonsági funkciókat is bevezethetnek.

SEV és SEV-SNP frissítések: virtualizációs biztonság megerősítése

Az AMD SEV (Secure Encrypted Virtualization) és SEV-SNP (Secure Nested Paging) technológiái a virtualizált környezetek védelmét szolgálják. A mostani frissítés több SEV firmware-verziót is aktualizál:

  • Új SEV firmware (2025.02.21-i állapot):
    • Zen3 (19h:a0-afh): v1.55 build 39
    • Zen4 (1ah:00-0fh): v1.55 build 54
  • Frissített firmware korábbi platformokhoz:
    • Zen+ (17h:30-3fh): v0.24 build 20
    • Zen3 (19h:00-0fh): v1.55 build 29
    • Zen3/Zen4 (19h:10-1fh): v1.55 build 39

Ezek a frissítések többek közt az alábbi kritikus biztonsági hibákat hivatottak kijavítani:

Kiemelt CVE-k és sebezhetőségek

  • CVE-2024-56161 (AMD-SB-3019):
    Az AMD EntrySign sebezhetőségének javítása, amely a távoli hitelesítés megbízhatóságát és az SEV működésének biztonságát érinti. A frissítés célja az új firmware-rel való kompatibilitás biztosítása.
  • CVE-2023-20584 (AMD-SB-3003):
    Az IOMMU (Input/Output Memory Management Unit) hibásan kezel bizonyos speciális címeket, ami SEV-SNP környezetben a vendég rendszer integritásának sérüléséhez vezethet, ha egy hypervisor kompromittálódik.
  • CVE-2023-31356 (AMD-SB-3003):
    A SEV firmware hiányos memóriatisztítása miatt egy jogosultsággal rendelkező támadó módosíthatja a vendég memóriáját, adatvesztést vagy korrupciót okozva.

Egyéb újdonságok

  • Új amdtee firmware:
    Ez a firmware a Trusted Execution Environment (TEE) hardveres titkosítási modulhoz kapcsolódik.

  • initramfs-tools változások:
    A MODULES=most beállítás esetén az initramfs alapértelmezetten már early betöltést használ auto helyett, valamint javításokat eszközöltek a conf snippetek kezelésében is.

A frissített AMD mikrokódot a linux-firmware.git oldalra küldték el az AMD-től.  További információk az AMD honlapján >