Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con VM confidenciales.

GCP-2025-007

Publicado: 3 de febrero de 2025

Descripción Gravedad Notas

Google descubrió una vulnerabilidad en las CPU basadas en AMD Zen que afecta a las instancias de Confidential VM con AMD SEV-SNP habilitado. Esta vulnerabilidad permite que los atacantes con acceso raíz en una máquina física comprometan la confidencialidad y la integridad de la instancia de Confidential VM.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google ninguna evidencia de explotación.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción. Los clientes que quieran verificar la corrección pueden verificar la versión de la base de procesamiento confiable (TCB) en el informe de certificación de su instancia de VM confidencial con AMD SEV-SNP. Las versiones mínimas que mitigan esta vulnerabilidad son las siguientes:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-3019.

Alta

CVE-2024-56161

GCP-2024-046

Publicado: 5-8-2024

Descripción Gravedad Notas

AMD notificó a Google sobre 3 vulnerabilidades de firmware nuevas (2 de riesgo medio y 1 de riesgo alto) que afectan a SEV-SNP en las CPUs AMD EPYC de 3ª (Milan) y 4ª (Genoa) generaciones.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google evidencia de explotación.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google.

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3011.

Medio a alto

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-009

Publicado: 13/02/2024

Descripción Gravedad Notas

El 13 de febrero de 2024, AMD divulgó dos vulnerabilidades que afectan a SEV-SNP en las CPU EPYC basadas en núcleos Zen “Milan” de tercera generación y “Genoa” de cuarta generación. Las vulnerabilidades permiten que los atacantes con privilegios accedan a datos inactivos de los invitados o provoquen una pérdida de integridad de los invitados.

Google aplicó correcciones a los recursos afectados, incluido Google Cloud, para garantizar la protección de los clientes. Por el momento, no se encontró ni se informó a Google ninguna evidencia de explotación.

¿Qué debo hacer?

Los clientes no deben realizar ninguna acción. Ya se aplicaron correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine.

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3007.

Medio

CVE-2023-31346

CVE-2023-31347