A continuación, se describen todos los boletines de seguridad relacionados con VM confidenciales.
GCP-2025-007
Publicado: 3 de febrero de 2025
Descripción | Gravedad | Notas |
---|---|---|
Google descubrió una vulnerabilidad en las CPU basadas en AMD Zen que afecta a las instancias de Confidential VM con AMD SEV-SNP habilitado. Esta vulnerabilidad permite que los atacantes con acceso raíz en una máquina física comprometan la confidencialidad y la integridad de la instancia de Confidential VM. Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google ninguna evidencia de explotación. ¿Qué debo hacer? Los clientes no deben realizar ninguna acción. Los clientes que quieran verificar la corrección pueden verificar la versión de la base de procesamiento confiable (TCB) en el informe de certificación de su instancia de VM confidencial con AMD SEV-SNP. Las versiones mínimas que mitigan esta vulnerabilidad son las siguientes: SNP TCB SVN: 0x18 0d24 tcb_version { psp_bootloader_version: 4 snp_firmware_version: 24 (0x18) microcode_version: 219 } Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-3019. |
Alta |
GCP-2024-046
Publicado: 5-8-2024
Descripción | Gravedad | Notas |
---|---|---|
AMD notificó a Google sobre 3 vulnerabilidades de firmware nuevas (2 de riesgo medio y 1 de riesgo alto) que afectan a SEV-SNP en las CPUs AMD EPYC de 3ª (Milan) y 4ª (Genoa) generaciones. Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación. ¿Qué debo hacer? Los clientes no deben realizar ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google. Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3011. |
Medio a alto |
GCP-2024-009
Publicado: 13/02/2024
Descripción | Gravedad | Notas |
---|---|---|
El 13 de febrero de 2024, AMD divulgó dos vulnerabilidades que afectan a SEV-SNP en las CPU EPYC basadas en núcleos Zen “Milan” de tercera generación y “Genoa” de cuarta generación. Las vulnerabilidades permiten que los atacantes con privilegios accedan a datos inactivos de los invitados o provoquen una pérdida de integridad de los invitados. Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google ninguna evidencia de explotación. ¿Qué debo hacer? Los clientes no deben realizar ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine. Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3007. |
Medio |