Esta página se ha traducido con Cloud Translation API.

Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con las máquinas virtuales confidenciales.

GCP-2025-007

Publicación: 03/02/2025

Descripción	Gravedad	Notas
Google ha descubierto una vulnerabilidad en las CPUs basadas en AMD Zen que afecta a las instancias de Confidential VM con AMD SEV-SNP habilitado. Esta vulnerabilidad permite que los atacantes con acceso de superusuario en una máquina física pongan en peligro la confidencialidad y la integridad de la instancia de máquina virtual confidencial. Google ha aplicado correcciones a los recursos afectados, incluido Google Cloud, para proteger a los clientes. Por el momento, no se ha encontrado ni se ha informado a Google de ninguna prueba de explotación. ¿Qué debo hacer? No hace falta que el cliente realice ninguna acción. Los clientes que quieran verificar la corrección pueden consultar la versión de la base de computación confiable (TCB) en el informe de certificación de su instancia de máquina virtual confidencial con AMD SEV-SNP. Las versiones mínimas que mitigan esta vulnerabilidad son las siguientes: SNP TCB SVN: 0x18 0d24 tcb_version { psp_bootloader_version: 4 snp_firmware_version: 24 (0x18) microcode_version: 219 } Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-3019.	Alta	CVE-2024-56161

Descripción

Gravedad

Notas

Google ha descubierto una vulnerabilidad en las CPUs basadas en AMD Zen que afecta a las instancias de Confidential VM con AMD SEV-SNP habilitado. Esta vulnerabilidad permite que los atacantes con acceso de superusuario en una máquina física pongan en peligro la confidencialidad y la integridad de la instancia de máquina virtual confidencial.

Google ha aplicado correcciones a los recursos afectados, incluido Google Cloud, para proteger a los clientes. Por el momento, no se ha encontrado ni se ha informado a Google de ninguna prueba de explotación.

¿Qué debo hacer?

No hace falta que el cliente realice ninguna acción. Los clientes que quieran verificar la corrección pueden consultar la versión de la base de computación confiable (TCB) en el informe de certificación de su instancia de máquina virtual confidencial con AMD SEV-SNP. Las versiones mínimas que mitigan esta vulnerabilidad son las siguientes:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Para obtener más información, consulta el boletín de seguridad de AMD AMD-SB-3019.

Alta

CVE-2024-56161

GCP-2024-046

Publicación: 05/08/2024

Descripción	Gravedad	Notas
AMD ha notificado a Google 3 nuevas vulnerabilidades de firmware (2 de riesgo medio y 1 de riesgo alto) que afectan a SEV-SNP en las CPUs AMD EPYC de 3.ª generación (Milan) y 4.ª generación (Genoa). Google ha aplicado correcciones a los recursos afectados, incluido Google Cloud, para proteger a los clientes. Por el momento, no se ha encontrado ni se ha informado a Google de ninguna prueba de explotación. ¿Qué debo hacer? No hace falta que el cliente realice ninguna acción. Ya se han aplicado correcciones a la flota de servidores de Google. Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3011.	Media-alta	CVE-2023-31355 CVE-2024-21978 CVE-2024-21980

Descripción

Gravedad

Notas

AMD ha notificado a Google 3 nuevas vulnerabilidades de firmware (2 de riesgo medio y 1 de riesgo alto) que afectan a SEV-SNP en las CPUs AMD EPYC de 3.ª generación (Milan) y 4.ª generación (Genoa).

¿Qué debo hacer?

No hace falta que el cliente realice ninguna acción. Ya se han aplicado correcciones a la flota de servidores de Google.

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3011.

Media-alta

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-009

Publicación: 13/02/2024

Descripción	Gravedad	Notas
El 13 de febrero del 2024, AMD informó de dos vulnerabilidades que afectaban a SEV-SNP en las CPUs EPYC basadas en los núcleos Zen de tercera generación ("Milan") y de cuarta generación ("Genoa"). Las vulnerabilidades permiten que los atacantes con privilegios accedan a datos obsoletos de los invitados o provoquen una pérdida de integridad de los invitados. Google ha aplicado correcciones a los recursos afectados, incluido Google Cloud, para proteger a los clientes. Por el momento, no se ha encontrado ni se ha informado a Google de ninguna prueba de explotación. ¿Qué debo hacer? No hace falta que el cliente realice ninguna acción. Ya se han aplicado correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine. Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3007.	Medio	CVE-2023-31346 CVE-2023-31347

Descripción

Gravedad

Notas

El 13 de febrero del 2024, AMD informó de dos vulnerabilidades que afectaban a SEV-SNP en las CPUs EPYC basadas en los núcleos Zen de tercera generación ("Milan") y de cuarta generación ("Genoa"). Las vulnerabilidades permiten que los atacantes con privilegios accedan a datos obsoletos de los invitados o provoquen una pérdida de integridad de los invitados.

¿Qué debo hacer?

No hace falta que el cliente realice ninguna acción. Ya se han aplicado correcciones a la flota de servidores de Google para Google Cloud, incluido Compute Engine.

Para obtener más información, consulta el aviso de seguridad de AMD AMD-SN-3007.

Medio

CVE-2023-31346

CVE-2023-31347

Boletines de seguridad Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

GCP-2025-007

GCP-2024-046

GCP-2024-009

Boletines de seguridad