Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito sono descritti tutti i bollettini sulla sicurezza relativi alle VM riservate.

GCP-2025-007

Pubblicato: 03/02/2025

Descrizione	Gravità	Note
Google ha scoperto una vulnerabilità nelle CPU AMD Zen che colpisce le istanze VM riservate con AMD SEV-SNP abilitato. Questa vulnerabilità consente agli utenti malintenzionati con accesso root in una macchina fisica di compromettere la riservatezza e l'integrità dell'istanza Confidential VM. Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. I clienti che vogliono verificare la correzione possono controllare la versione della base di calcolo attendibile (TCB) nel report di attestazione della loro istanza Confidential VM con AMD SEV-SNP. Le versioni minime che mitigano questa vulnerabilità sono le seguenti: SNP TCB SVN: 0x18 0d24 tcb_version { psp_bootloader_version: 4 snp_firmware_version: 24 (0x18) microcode_version: 219 } Per ulteriori informazioni, consulta il bollettino sulla sicurezza AMD AMD-SB-3019.	Alta	CVE-2024-56161

Descrizione

Gravità

Note

Google ha scoperto una vulnerabilità nelle CPU AMD Zen che colpisce le istanze VM riservate con AMD SEV-SNP abilitato. Questa vulnerabilità consente agli utenti malintenzionati con accesso root in una macchina fisica di compromettere la riservatezza e l'integrità dell'istanza Confidential VM.

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. I clienti che vogliono verificare la correzione possono controllare la versione della base di calcolo attendibile (TCB) nel report di attestazione della loro istanza Confidential VM con AMD SEV-SNP. Le versioni minime che mitigano questa vulnerabilità sono le seguenti:

SNP TCB SVN: 0x18 0d24
tcb_version {
  psp_bootloader_version: 4
  snp_firmware_version: 24 (0x18)
  microcode_version: 219
}

Per ulteriori informazioni, consulta il bollettino sulla sicurezza AMD AMD-SB-3019.

Alta

CVE-2024-56161

GCP-2024-046

Pubblicato: 05/08/2024

Descrizione	Gravità	Note
AMD ha informato Google di tre nuove vulnerabilità del firmware (2 a rischio medio e 1 a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª (Milan) e 4ª generazione (Genova). Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. I fix sono già stati applicati al fleet di server Google. Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3011.	Medio-alto	CVE-2023-31355 CVE-2024-21978 CVE-2024-21980

Descrizione

Gravità

Note

AMD ha informato Google di tre nuove vulnerabilità del firmware (2 a rischio medio e 1 a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª (Milan) e 4ª generazione (Genova).

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. I fix sono già stati applicati al fleet di server Google.

Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3011.

Medio-alto

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-009

Pubblicato: 13/02/2024

Descrizione	Gravità	Note
Il 13 febbraio 2024 AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate su core Zen "Milan" di terza generazione e "Genova" di quarta generazione. Le vulnerabilità consentono agli autori di attacchi con privilegi di accedere a dati obsoleti degli ospiti o di causare una perdita di integrità degli ospiti. Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento. Che cosa devo fare? Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate al fleet di server Google per Google Cloud, incluso Compute Engine. Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3007.	Medio	CVE-2023-31346 CVE-2023-31347

Descrizione

Gravità

Note

Il 13 febbraio 2024 AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate su core Zen "Milan" di terza generazione e "Genova" di quarta generazione. Le vulnerabilità consentono agli autori di attacchi con privilegi di accedere a dati obsoleti degli ospiti o di causare una perdita di integrità degli ospiti.

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate al fleet di server Google per Google Cloud, incluso Compute Engine.

Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3007.

Medio

CVE-2023-31346

CVE-2023-31347