News Zenbleed: Sicherheitslücke gefährdet Zen-2-Architektur von AMD

[tollertyp]

@leipziger1979:
Die Ironie ist, dass hier steht "auch für die Cloud". Gerade in der Cloud halte ich solche Sicherheitslücken für viel ernstzunehmender als für Privatkunden.

Wie du sagst: Da sind andere Angriffe viel weniger aufwändig und vielversprechender.

Geschichte wiederholt sich halt, die Menschen lernen wohl nicht.

Und ich habe einen AMD-Prozessor, fühle mich weder bedrohter als zuvor noch habe ich früher gedacht "zum Glück habe ich keinen Intel". Ach ja, habe auch einen Intel-System hier noch... warum auch nicht.

 

[JustAnotherTux]

Und trotzdem findest du Zeit, hier zu schreiben? Respekt!😉

Ich glaube das war eine Referenz auf "by the way I use Arch" was eine Anspielung auf die Überheblichkeit einiger ArchLinux User ist.

 

[Cerebral_Amoebe]

Zenbleed hört sich unbedarft wie "schee(n) bled" an.
Für Leute, die ihr Geld mit dem PC verdienen, ist so eine Sicherheitslücke immer Schei**e, egal von welchem Hersteller die CPU im PC kommt.

Ich wollte diese Woche ein BIOS-Update (X3D-Verbesserungen) machen, dann warte ich noch einen Monat oder wie lange es dauert.

 

[pseudopseudonym]

@Rassnahr Schon klar, konnte ich mir trotzdem nicht verkneifen.

 

[Whistl0r]

Für AMD Epyc (Server) unter Linux gibt es bereits Microcode-Updates.
Ob/wann Microsoft sie verteilt ist derzeit unklar.

Neue AGESA Firmwares sind unterwegs. Consumer-Hardware wie auch Threadripper müssen aber bspw. bis mindestens Oktober laut https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html warten (dort sind auch Datums-Angaben für andere Zen2-basierte Prozessoren zu finden).

 

[JustAnotherTux]

@Whistl0r
ich würde mal vermuten das der Microcode im Linux repo für alle Zen2 CPUs gilt nicht nur für Epic Server.

 

[Freiheraus]

Es fällt schon deutlich auf, dass findige Lückenexperten AMD immer nur 1-2 Monate Zeit einräumen bis sie Sicherheitslücke öffentlich machen.

Intel wurde häufig mindestens 6 Monate zugestanden oder Intel hat sich noch längeres Stillschweigen mit Druckausübung erzwungen, bis die Lücken letztlich veröffentlicht wurden.

 

[nazgul77]

Wie war das noch mit dem "Wasser kochen" ?

Ich kann mich noch genau daran erinnern wie hier bestimmt 70% der AMD Boys sich gefeiert haben, dass sie AMD gekauft haben, weil Intel ja so typisch inkompetent ist.

Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.

Wieder Mal ein reisserischer, pauschaler Kommentar, um die Stimmung anzuheizen und Dinge ins falsche Licht zu stellen.

Fakten-Check:

- Meltdown betrifft nicht nur Intel, sondern auch IBM POWER und einige ARM

- Firmware-Patch lässt nicht Monate auf sich warten, der ist bereits von AMD geliefert.

- "Zenbleed" betrifft genau eine AVX-Anweisung (vzeroupper), die Register teilweise nullt. Das ist gerade einmal eine, sehr selten genutzte Anweidung.

 

[Muntermacher]

Wie war das noch mit dem "Wasser kochen" ?

Ich kann mich noch genau daran erinnern wie hier bestimmt 70% der AMD Boys sich gefeiert haben, dass sie AMD gekauft haben, weil Intel ja so typisch inkompetent ist.

Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.

Versteh ich nicht, 90% der Intel Fanboyz sagten doch, es sei für die meisten Anwender irrelevant......

By the way, patch ist fertig, Boardhersteller brauchen nur solange. Ob da wieder Gelder floßen wie anno dazumal?

 

[h3@d1355_h0r53]

Wie war das noch mit dem "Wasser kochen" ?

Ich kann mich noch genau daran erinnern wie hier bestimmt 70% der AMD Boys sich gefeiert haben, dass sie AMD gekauft haben, weil Intel ja so typisch inkompetent ist.

Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.

Scherzbold. Intel hatte bei ihren Lücken 6 Monate Zeit sich vorzubereiten. Das haben sie auch gemacht. Allerdings nicht die Technik mit Microcode für BIOS Updates, sondern die Marketingabteilung. Die haben dann erklärt, dass das alles nicht so schlimm ist.

Das macht dir Verspätung von AMD nicht besser, aber das Problem liegt darin, dass Prozessoren erstellt werden, deren Verhalten die Techniker selbst nicht mehr blicken. Das gilt für AMD und Intel und andere Hersteller.

 

[nazgul77]

Wie man zu Spectre und Meltdown über Intel gelästert hat. Immer wieder schön zu sehen, dass AMD genauso Mist baut.

AMD ist doch auch von einigen Spectre-Varianten betroffen gewesen. Wobei Meltdown das wesentlich fatalere Problem von beiden war.

 

[RayZen]

Wie war das noch mit dem "Wasser kochen" ?

Ich kann mich noch genau daran erinnern wie hier bestimmt 70% der AMD Boys sich gefeiert haben, dass sie AMD gekauft haben, weil Intel ja so typisch inkompetent ist.

Das hier ein Patch Monate auf sich warten lassen wird, ist gerade bei dieser Schwere; absolut inakzeptabel.

Die Lücken bei Intel sind 1000 mal schlimmer als diese lächerlichen Lücken. Das sieht jeder ein der kein Fanboy ist. AMD war nie ernsthaft gefährdet. Bei Intel haben Firmen ganze Abteilungen deswegen mit neuen PCs ausgestattet!

 

[greatdisaster]

@Whistl0r
ich würde mal vermuten das der Microcode im Linux repo für alle Zen2 CPUs gilt nicht nur für Epic Server.

Das sagt das Changelog des Micocode Updates aber etwas anderes
https://git.kernel.org/pub/scm/linu.../?id=0bc3126c9cfa0b8c761483215c25382f831a7c6f

 

[Pesky_]

Lasst euch Zeit… Ich hab nur 4650g bei Kunden Deployed als opnsense Hardware Appliances

Wird nicht lange dauern, bis es Updates gibt. Ubuntu hat z.B. schon ein neues Release vom Microcode draußen: http://changelogs.ubuntu.com/change...d64-microcode_3.20191218.1ubuntu2.1/changelog

 

[Termy]

Die Lücken bei Intel sind 1000 mal schlimmer als diese lächerlichen Lücken.

Solche pauschalen Aussagen sind halt völliger Blödsinn

Das wichtige bei solchen Lücken ist vor allem: wie der Hersteller auf die Entdeckung reagiert.
Und in der Hinsicht hat sich Intel bei Meltdown/Spectre mit so ziemlich allem, aber sicher nicht mit Ruhm bekleckert.

AMD sehe ich da (in diesem konkreten Fall) deutlich souveräner, allerdings hängt das noch so ein bisschen davon ab, ob das schon bereitgestellte Microcode-Update jetzt wirklich nur für Epyc oder für alle Zen 2-Familien funktioniert.

Und dass hier ja wieder versucht wird eine Fanboy-Schlammschlacht vom Zaun zu brechen zeigt vor allem eins: Dass jeder Fanboy nicht müde wird, sich bis auf die Knochen zu blamieren. Egal ob jetzt AMD-Fanboys, die diese Lücke verharmlosen oder Intel-Jünger die sich schadenfroh die Hände ob der tollen 'Revanche' reiben 🤦‍♂️

 

[greatdisaster]

Wieder Mal ein reisserischer, pauschaler Kommentar, um die Stimmung anzuheizen und Dinge ins falsche Licht zu stellen.

Fakten-Check:

- Meltdown betrifft nicht nur Intel, sondern auch IBM POWER und einige ARM

- Firmware-Patch lässt nicht Monate auf sich warten, der ist bereits von AMD geliefert.

- "Zenbleed" betrifft genau eine AVX-Anweisung (vzeroupper), die Register teilweise nullt. Das ist gerade einmal eine, sehr selten genutzte Anweidung.

Wenn Klugscheißen dann aber auch richtig.
Der Patch von AMD ist nur für Epyc vorhanden, für die Consumer CPUs kommt ein Fix im Zeitraum von Oktober bis Dezember laut AMD.
vzerupper ist nicht selten genutzt, es wird z.b. direkt in glibc für strlen genutzt und damit extrem häufig genutzt.
Außerdem ist es nicht interessant ob das selten genutzt wird oder nicht sondern ob man das als potentieller Angreifer nutzen kann.

 

[drago-museweni]

Zen 2 oh meit Gott, und die Frage ist dann auch noch wie hoch ist die Wahrscheinlichkeit das das jemand ausnutzt bei privaten Leuten.

 

[greatdisaster]

Da stimme ich Dir nur teilweise zu.
Das Problem ist das die Prozessorentwickler ihren eigenen Prozessor nicht mehr durchschauen wenn solche Fehler passieren.
Damit ist es wahrscheinlich das auch in aktuellen CPUs ähnliche Fehler vorhanden sind.

 

[Draco Nobilis]

Es fällt schon deutlich auf, dass findige Lückenexperten AMD immer nur 1-2 Monate Zeit einräumen bis sie Sicherheitslücke öffentlich machen.

Intel wurde häufig mindestens 6 Monate zugestanden oder Intel hat sich noch längeres Stillschweigen mit Druckausübung erzwungen, bis die Lücken letztlich veröffentlicht wurden.

Exakt das.
WTF was soll das?
Disclosure ist doch eigentlich immer 6 Monate.
Da hier AMD es zwar fixen kann (und hat), aber alle OEM und Boardhersteller ja auch Zeit brauchen.

Echt unverschämt und gehört, falls das alles zutrifft verklagt.
Ein Hacker ist harmlos gegen so einen "Sicherheitsforscher".
Sowas finde ich unverantwortlich.

 

[foofoobar]

prinzipiell richtig, aber das aktuelle microcode-update ist nur für epyc auf zen2-basis, nicht für ryzen. siehe git:

 Microcode patches in microcode_amd_fam17h.bin:
   Family=0x17 Model=0x08 Stepping=0x02: Patch=0x0800820d Length=3200 bytes
+  Family=0x17 Model=0x31 Stepping=0x00: Patch=0x0830107a Length=3200 bytes
+  Family=0x17 Model=0xa0 Stepping=0x00: Patch=0x08a00008 Length=3200 bytes
   Family=0x17 Model=0x01 Stepping=0x02: Patch=0x0800126e Length=3200 bytes
-  Family=0x17 Model=0x31 Stepping=0x00: Patch=0x08301072 Length=3200 bytes

family 17h und model 31h ist rome + castle peak

Hmm, da ist noch mehr:

$ apt-get changelog amd64-microcode | head -n 19
Get:1 https://changelogs.ubuntu.com amd64-microcode 3.20191218.1ubuntu2.1 Changelog [18,3 kB]
amd64-microcode (3.20191218.1ubuntu2.1) jammy-security; urgency=medium

* SECURITY UPDATE: Zenbleed - information leak via speculative execution
- microcode_amd_fam17h.bin{.asc}: update AMD fam17h cpu microcode and
signature for Zenbleed vulnerability
- New microcodes:
+ Family=0x17 Model=0x31 Stepping=0x00: Patch=0x0830107a Length=3200 bytes
+ Family=0x17 Model=0xa0 Stepping=0x00: Patch=0x08a00008 Length=3200 bytes
- Updated microcodes:
+ Family=0x17 Model=0x08 Stepping=0x02: Patch=0x0800820d Length=3200 bytes
+ Family=0x17 Model=0x01 Stepping=0x02: Patch=0x0800126e Length=3200 bytes
- CVE-2023-20593

-- Alex Murray <alex.murray@canonical.com> Tue, 25 Jul 2023 13:44:24 +0930

amd64-microcode (3.20191218.1ubuntu2) impish; urgency=medium

* No-change rebuild to build packages with zstd compression.
$