ProHoster > ဘလော့ > အင်တာနက်သတင်း > AMD EPYC ပရိုဆက်ဆာများအပေါ် သက်ရောက်မှုရှိသော AMD SEV နည်းပညာကို အကောင်အထည်ဖော်ရာတွင် အားနည်းချက်များ

AMD EPYC ပရိုဆက်ဆာများအပေါ် သက်ရောက်မှုရှိသော AMD SEV နည်းပညာကို အကောင်အထည်ဖော်ရာတွင် အားနည်းချက်များ

AMD SEV (Secure Encrypted Virtualization) လုံခြုံရေးယန္တရားကို ကျော်လွှားနိုင်သည့် တိုက်ခိုက်မှုနည်းလမ်းနှစ်ခုကို ဖော်ထုတ်ထားကြောင်း AMD မှ သတိပေးထားသည်။ ပြဿနာသည် AMD EPYC ပရိုဆက်ဆာများ၏ ပထမ၊ ဒုတိယနှင့် တတိယမျိုးဆက်များ (Zen1 - Zen3 microarchitecture ကိုအခြေခံ၍) နှင့် ထည့်သွင်းထားသော AMD EPYC ပရိုဆက်ဆာများကို ထိခိုက်စေပါသည်။

AMD SEV သည် ဟာ့ဒ်ဝဲအဆင့်ရှိ virtual machine memory ၏ ပွင့်လင်းသောကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးသည်၊ ယင်းတွင် လက်ရှိဧည့်သည်စနစ်မှ ကုဒ်ဝှက်ထားသောဒေတာများကိုသာ ဝင်ရောက်အသုံးပြုနိုင်ပြီး အခြား virtual machine များနှင့် hypervisor သည် ဤမှတ်ဉာဏ်ကိုဝင်ရောက်ရန်ကြိုးပမ်းသည့်အခါတွင် ကုဒ်ဝှက်ထားသောဒေတာအစုအဝေးကို လက်ခံရရှိမည်ဖြစ်သည်။ ဖော်ထုတ်ထားသော ပြဿနာများသည် ဆာဗာပေါ်ရှိ စီမံခန့်ခွဲရေးဆိုင်ရာ အခွင့်အရေးများနှင့် hypervisor ၏ ထိန်းချုပ်မှုရှိသော တိုက်ခိုက်သူအား AMD SEV ကန့်သတ်ချက်များကို ကျော်ဖြတ်ကာ ကာကွယ်ထားသော virtual machines များတွင် ၎င်းတို့၏ကုဒ်ကို လုပ်ဆောင်ခွင့်ပြုသည်။

ဖော်ထုတ်ထားသော ပြဿနာများ-

  • CVE-2021-26311 (undeSErVed တိုက်ခိုက်မှု) - ဧည့်သည်စနစ်၏လိပ်စာနေရာရှိ မမ်မိုရီဘလောက်များအစီအစဥ်ကို ပြောင်းလဲခြင်းမှတဆင့်၊ သင်သည် hypervisor ကို ထိန်းချုပ်နိုင်လျှင်၊ အသုံးပြုနေသော်လည်း၊ Guest virtual machine တွင် သင့်ကုဒ်ကို execute လုပ်နိုင်ပါသည်။ AMD SEV/SEV-ES ကာကွယ်မှု။ သုတေသီများသည် တင်ထားသော UEFI တုံးများကို ပြန်လည်စုဖွဲ့ကာ မထင်သလိုကုဒ်၏ လုပ်ဆောင်မှုကို စုစည်းရန် ပြန်လာ-ဆန်သော ပရိုဂရမ်းမင်း (ROP - Return-Oriented Programming) နည်းစနစ်များကို အသုံးပြုသည့် သုတေသီများသည် universal exploit ၏ ရှေ့ပြေးပုံစံကို ပြင်ဆင်ထားပါသည်။
  • CVE-2020-12967 (SEVerity attack) - AMD SEV/SEV-ES ရှိ nested memory page tables များ၏ သင့်လျော်သောအကာအကွယ်မရှိခြင်းသည် hypervisor သို့ဝင်ရောက်ခွင့်ရှိပါက၊ Guest system kernel ထဲသို့ code အစားထိုးခြင်းနှင့် စုစည်းရန် ခွင့်ပြုသည် ထိန်းချုပ်မှုကို ဤကုဒ်သို့ လွှဲပြောင်းခြင်း။ နည်းလမ်းသည် ကာကွယ်ထားသော ဧည့်သည်စနစ်အပေါ် အပြည့်အဝ ထိန်းချုပ်နိုင်ပြီး ၎င်းမှ လျှို့ဝှက်အချက်အလက်များကို ထုတ်ယူနိုင်စေပါသည်။

အဆိုပြုထားသည့် တိုက်ခိုက်မှုနည်းလမ်းများကို တန်ပြန်ရန်အတွက် AMD သည် AMD EPYC ပရိုဆက်ဆာများ၏ တတိယမျိုးဆက်အတွက် firmware update အဖြစ်ရရှိနိုင်ပြီး SEV-SNP (Secure Nested Paging) extension ကို ပြင်ဆင်ပြီး nested memory page tables များဖြင့် လုံခြုံသောလုပ်ဆောင်ချက်ကို ပံ့ပိုးပေးပါသည်။ ယေဘူယျမှတ်ဉာဏ်စာဝှက်စနစ်နှင့် CPU မှတ်ပုံတင်မှုများကိုကာကွယ်ပေးသည့် SEV-ES (ကုဒ်ဝှက်ထားသောအခြေအနေ) တိုးချဲ့မှုအပြင်၊ SEV-SNP သည် hypervisors များမှ တိုက်ခိုက်မှုများကိုခံနိုင်ရည်ရှိပြီး ဘေးထွက်ချန်နယ်တိုက်ခိုက်မှုများကို ထပ်လောင်းကာကွယ်ပေးသည့် မမ်မိုရီခိုင်မာမှုကာကွယ်မှုကို ပေးပါသည်။

source: opennet.ru

မှတ်ချက် Add