PSP (ప్లాట్ఫాం సెక్యూరిటీ ప్రాసెసర్), SMU (సిస్టమ్ మేనేజ్మెంట్ యూనిట్) మరియు SEV (సెక్యూర్ ఎన్క్రిప్టెడ్ వర్చువలైజేషన్) సాంకేతికతలను రాజీపడేలా చేయడం ద్వారా AMD EPYC సిరీస్ సర్వర్ ప్రాసెసర్ల యొక్క మొదటి, రెండవ మరియు మూడవ తరాలలోని 22 దుర్బలత్వాలను తొలగిస్తున్నట్లు AMD ప్రకటించింది. . 6లో 2020, 16లో 2021 సమస్యలు గుర్తించబడ్డాయి. అంతర్గత భద్రతా పరిశోధన సమయంలో, 11 దుర్బలత్వాలను Google ఉద్యోగులు గుర్తించారు, 6 ఒరాకిల్ మరియు 5 మైక్రోసాఫ్ట్ ద్వారా గుర్తించారు.
OEM పరికరాల తయారీదారుల కోసం AGESA (AMD జెనరిక్ ఎన్క్యాప్సులేటెడ్ సాఫ్ట్వేర్ ఆర్కిటెక్చర్) ఫర్మ్వేర్ యొక్క నవీకరించబడిన సెట్లు విడుదల చేయబడ్డాయి, రౌండ్అబౌట్ మార్గంలో సమస్యలు ఏర్పడకుండా నిరోధించడం జరిగింది. HP, Dell, Supermicro మరియు Lenovo వంటి కంపెనీలు ఇప్పటికే తమ సర్వర్ సిస్టమ్ల కోసం BIOS మరియు UEFI ఫర్మ్వేర్ అప్డేట్లను విడుదల చేశాయి.
4 దుర్బలత్వాలు ప్రమాదకరమైనవిగా వర్గీకరించబడ్డాయి (వివరాలు ఇంకా వెల్లడించబడలేదు):
- CVE-2020-12954 - నిర్దిష్ట అంతర్గత చిప్సెట్ సెట్టింగ్ల మానిప్యులేషన్ ద్వారా SPI ROM రక్షణ విధానాలను దాటవేయగల సామర్థ్యం. హానికరమైన కోడ్ లేదా సిస్టమ్కు కనిపించని రూట్కిట్లను పరిచయం చేయడానికి SPI ఫ్లాష్లో మార్పులు చేయడానికి దాడి చేసే వ్యక్తిని దుర్బలత్వం అనుమతిస్తుంది.
- CVE-2020-12961 - PSP ప్రాసెసర్లో (AMD సెక్యూరిటీ ప్రాసెసర్) దుర్బలత్వం, ప్రధాన OS నుండి యాక్సెస్ చేయలేని రక్షిత ఐసోలేటెడ్ ఎన్విరాన్మెంట్ను అమలు చేయడానికి ఉపయోగించబడుతుంది, దాడి చేసే వ్యక్తి SMN (సిస్టమ్ మేనేజ్మెంట్ నెట్వర్క్) మరియు బైపాస్లో ఏదైనా ప్రత్యేక ప్రాసెసర్ రిజిస్టర్ని రీసెట్ చేయడానికి అనుమతిస్తుంది. SPI ROM రక్షణ.
- CVE-2021-26331 - ప్రాసెసర్లో విలీనం చేయబడిన SMU (సిస్టమ్ మేనేజ్మెంట్ యూనిట్) సబ్సిస్టమ్లోని లోపం, విద్యుత్ వినియోగం, వోల్టేజ్ మరియు ఉష్ణోగ్రతను నిర్వహించడానికి ఉపయోగించబడుతుంది, అధిక అధికారాలతో కోడ్ అమలును సాధించడానికి ఒక ప్రత్యేకించబడని వినియోగదారుని అనుమతిస్తుంది.
- CVE-2021-26335 - PSP ప్రాసెసర్ కోసం కోడ్ లోడర్లో తప్పు ఇన్పుట్ డేటా ధ్రువీకరణ డిజిటల్ సంతకాన్ని తనిఖీ చేసే ముందు దశలో దాడి చేసేవారి-నియంత్రిత విలువలను ఉపయోగించడం మరియు PSPలో వారి కోడ్ అమలును సాధించడం సాధ్యం చేస్తుంది.
AMD μProf టూల్కిట్లోని దుర్బలత్వాన్ని (CVE-2021-26334) తొలగించడం ప్రత్యేకంగా గుర్తించబడింది, ఇది Linux మరియు FreeBSD కోసం అందించబడింది మరియు పనితీరు మరియు విద్యుత్ వినియోగ విశ్లేషణ కోసం ఉపయోగించబడుతుంది. సమస్య AMDPowerProfiler డ్రైవర్లో ఉంది మరియు అన్ప్రివిలేజ్డ్ వినియోగదారుని అనుమతిస్తుంది సున్నా రక్షణ రింగ్ (రింగ్-0) స్థాయిలో మీ కోడ్ అమలును నిర్వహించడానికి MSR (మోడల్-నిర్దిష్ట) రిజిస్టర్ల రిజిస్టర్కు ప్రాప్యతను పొందడం. Linux కోసం amduprof-3.4-502 మరియు Windows కోసం AMDuProf-3.4.494లో దుర్బలత్వం పరిష్కరించబడింది.
ఇంతలో, ఇంటెల్ దాని ఉత్పత్తులలోని దుర్బలత్వాలపై త్రైమాసిక నివేదికలను ప్రచురించింది, ఈ క్రింది సమస్యలు ప్రత్యేకంగా ఉన్నాయి:
- CVE-2021-0146 అనేది మొబైల్ మరియు డెస్క్టాప్ సిస్టమ్ల కోసం ఇంటెల్ పెంటియమ్, సెలెరాన్ మరియు ఆటమ్ ప్రాసెసర్లలో ఒక దుర్బలత్వం, ఇది డీబగ్ మోడ్లను యాక్టివేట్ చేయడం ద్వారా ప్రివిలేజ్ పెరుగుదలను సాధించడానికి పరికరాలకు భౌతిక ప్రాప్యత ఉన్న వినియోగదారుని అనుమతిస్తుంది.
- CVE-2021-0157, CVE-2021-0158 అనేవి Intel Xeon (E/W/Scalable), కోర్ (7/10/11gen), Celeron (N) మరియు పెంటియమ్ సిల్వర్ ప్రాసెసర్లను ప్రారంభించడం కోసం అందించబడిన BIOS రిఫరెన్స్ కోడ్లోని దుర్బలత్వాలు. BIOS ఫర్మ్వేర్లో సరికాని ఇన్పుట్ ధ్రువీకరణ లేదా సరికాని ప్రవాహ నియంత్రణ కారణంగా సమస్యలు ఏర్పడతాయి మరియు స్థానిక యాక్సెస్ అందుబాటులో ఉన్నప్పుడు ప్రత్యేకాధికారాలను పెంచడానికి అనుమతిస్తాయి.
మూలం: opennet.ru