Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a los procesadores AMD EPYC y Ryzen, que permitirían a un atacante realizar ejecución arbitraria de código, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”, 16 (dieciséis) de severidad “Media” y 10 (diez) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2021-26316, de severidad “alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación del búfer de comunicación en el BIOS. Esto permitiría a un atacante realizar ejecución de código arbitrario con privilegios de administración.
- CVE-2021-26398, de severidad “alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada en la función SYS_KEY_DERIVE. Esto permitiría a un atacante realizar ejecución de código arbitrario.
- CVE-2021-26346, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del gestor de arranque de AMD Secure Processor (ASP). Esto permitiría a un atacante provocar denegación de servicios (DoS) en el sistema afectado.
Para acceder al listado completo de las vulnerabilidades ingrese al siguiente enlace.
Los principales productos afectados son:
- AMD Ryzen™ 2000 series Desktop Processors “Raven Ridge” AM4, Raven-FP5-AM4 1.1.0.D.
- AMD Ryzen™ 2000 Series Desktop Processors “Pinnacle Ridge”, PinnaclePI-AM4 1.0.0.C.
- 1st Gen AMD EPYC™ Processors, NaplesPI 1.0.0.H.
Puede acceder a la lista completa de los productos afectados en los siguientes enlaces:
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2021-26316-code-execution-flaw-in-amd-epyc-and-ryzen-processors/
- https://nvd.nist.gov/vuln/detail/CVE-2021-26316
- https://nvd.nist.gov/vuln/detail/CVE-2021-26398
- https://nvd.nist.gov/vuln/detail/CVE-2021-26346
- https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1031
- https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1032
- https://www.amd.com/en/support