PSP (ప్లాట్ఫాం సెక్యూరిటీ ప్రాసెసర్), SMU (సిస్టమ్ మేనేజ్మెంట్ యూనిట్) మరియు SEV (సెక్యూర్ ఎన్క్రిప్టెడ్ వర్చువలైజేషన్) సాంకేతికతలను రాజీపడేలా చేయడం ద్వారా AMD EPYC సిరీస్ సర్వర్ ప్రాసెసర్ల యొక్క మొదటి, రెండవ మరియు మూడవ తరాలలోని 22 దుర్బలత్వాలను తొలగిస్తున్నట్లు AMD ప్రకటించింది. . 6లో 2020, 16లో 2021 సమస్యలు గుర్తించబడ్డాయి. అంతర్గత భద్రతా పరిశోధన సమయంలో, 11 దుర్బలత్వాలను Google ఉద్యోగులు గుర్తించారు, 6 ఒరాకిల్ మరియు 5 మైక్రోసాఫ్ట్ ద్వారా గుర్తించారు.
OEM పరికరాల తయారీదారుల కోసం AGESA (AMD జెనరిక్ ఎన్క్యాప్సులేటెడ్ సాఫ్ట్వేర్ ఆర్కిటెక్చర్) ఫర్మ్వేర్ యొక్క నవీకరించబడిన సెట్లు విడుదల చేయబడ్డాయి, రౌండ్అబౌట్ మార్గంలో సమస్యలు ఏర్పడకుండా నిరోధించడం జరిగింది. HP, Dell, Supermicro మరియు Lenovo వంటి కంపెనీలు ఇప్పటికే తమ సర్వర్ సిస్టమ్ల కోసం BIOS మరియు UEFI ఫర్మ్వేర్ అప్డేట్లను విడుదల చేశాయి.
4 దుర్బలత్వాలు ప్రమాదకరమైనవిగా వర్గీకరించబడ్డాయి (వివరాలు ఇంకా వెల్లడించబడలేదు):
- CVE-2020-12954 - నిర్దిష్ట అంతర్గత చిప్సెట్ సెట్టింగ్ల మానిప్యులేషన్ ద్వారా SPI ROM రక్షణ విధానాలను దాటవేయగల సామర్థ్యం. హానికరమైన కోడ్ లేదా సిస్టమ్కు కనిపించని రూట్కిట్లను పరిచయం చేయడానికి SPI ఫ్లాష్లో మార్పులు చేయడానికి దాడి చేసే వ్యక్తిని దుర్బలత్వం అనుమతిస్తుంది.
- CVE-2020-12961 - PSP ప్రాసెసర్లో (AMD సెక్యూరిటీ ప్రాసెసర్) దుర్బలత్వం, ప్రధాన OS నుండి యాక్సెస్ చేయలేని రక్షిత ఐసోలేటెడ్ ఎన్విరాన్మెంట్ను అమలు చేయడానికి ఉపయోగించబడుతుంది, దాడి చేసే వ్యక్తి SMN (సిస్టమ్ మేనేజ్మెంట్ నెట్వర్క్) మరియు బైపాస్లో ఏదైనా ప్రత్యేక ప్రాసెసర్ రిజిస్టర్ని రీసెట్ చేయడానికి అనుమతిస్తుంది. SPI ROM రక్షణ.
- CVE-2021-26331 - ప్రాసెసర్లో విలీనం చేయబడిన SMU (సిస్టమ్ మేనేజ్మెంట్ యూనిట్) సబ్సిస్టమ్లోని లోపం, విద్యుత్ వినియోగం, వోల్టేజ్ మరియు ఉష్ణోగ్రతను నిర్వహించడానికి ఉపయోగించబడుతుంది, అధిక అధికారాలతో కోడ్ అమలును సాధించడానికి ఒక ప్రత్యేకించబడని వినియోగదారుని అనుమతిస్తుంది.
- CVE-2021-26335 - PSP ప్రాసెసర్ కోసం కోడ్ లోడర్లో తప్పు ఇన్పుట్ డేటా ధ్రువీకరణ డిజిటల్ సంతకాన్ని తనిఖీ చేసే ముందు దశలో దాడి చేసేవారి-నియంత్రిత విలువలను ఉపయోగించడం మరియు PSPలో వారి కోడ్ అమలును సాధించడం సాధ్యం చేస్తుంది.
విడిగా, ఇతర విషయాలతో పాటుగా అందించబడిన AMD μProf టూల్కిట్లో ఒక దుర్బలత్వాన్ని (CVE-2021-26334) తొలగించడం Linux మరియు FreeBSD, మరియు పనితీరు మరియు విద్యుత్ వినియోగ విశ్లేషణ కోసం ఉపయోగించబడుతుంది. ఈ సమస్య AMDPowerProfiler డ్రైవర్లో ఉంది మరియు ఇది అధికారాలు లేని వినియోగదారుని మోడల్-స్పెసిఫిక్ రిజిస్టర్ (MSR) రిజిస్టర్లకు యాక్సెస్ పొందడానికి అనుమతిస్తుంది, తద్వారా వారు ప్రొటెక్షన్ రింగ్ 0 (రింగ్-0) స్థాయిలో వారి కోడ్ అమలును నిర్వహించగలరు. ఈ దుర్బలత్వం amduprof-3.4-502 అప్డేట్లో పరిష్కరించబడింది. Linux మరియు AMDuProf-3.4.494 కోసం Windows.
ఇంతలో, ఇంటెల్ దాని ఉత్పత్తులలోని దుర్బలత్వాలపై త్రైమాసిక నివేదికలను ప్రచురించింది, ఈ క్రింది సమస్యలు ప్రత్యేకంగా ఉన్నాయి:
- CVE-2021-0146 అనేది మొబైల్ మరియు డెస్క్టాప్ సిస్టమ్ల కోసం ఇంటెల్ పెంటియమ్, సెలెరాన్ మరియు ఆటమ్ ప్రాసెసర్లలో ఒక దుర్బలత్వం, ఇది డీబగ్ మోడ్లను యాక్టివేట్ చేయడం ద్వారా ప్రివిలేజ్ పెరుగుదలను సాధించడానికి పరికరాలకు భౌతిక ప్రాప్యత ఉన్న వినియోగదారుని అనుమతిస్తుంది.
- CVE-2021-0157, CVE-2021-0158 అనేవి Intel Xeon (E/W/Scalable), కోర్ (7/10/11gen), Celeron (N) మరియు పెంటియమ్ సిల్వర్ ప్రాసెసర్లను ప్రారంభించడం కోసం అందించబడిన BIOS రిఫరెన్స్ కోడ్లోని దుర్బలత్వాలు. BIOS ఫర్మ్వేర్లో సరికాని ఇన్పుట్ ధ్రువీకరణ లేదా సరికాని ప్రవాహ నియంత్రణ కారణంగా సమస్యలు ఏర్పడతాయి మరియు స్థానిక యాక్సెస్ అందుబాటులో ఉన్నప్పుడు ప్రత్యేకాధికారాలను పెంచడానికి అనుమతిస్తాయి.
మూలం: opennet.ru
