wikiSicherheitshinweise zu AMD-SB-7029
Am 8. Juli 2025 wurde von AMD das Security Bulletin AMD-SB-7029 [1] veröffentlicht. AMD entdeckte nach der Sichtung des Microsoft Berichts "Enter, Exit, Page Fault, Leak: Testing Isolation Boundaries for Microarchitectural Leaks" [2] mehrere Vektoren für "Transient Scheduler Angriffe" (TSA). Durch die Ausnutzung bestimmter Timings bei der Ausführung von Befehlen unter bestimmten mikroarchitektonischen Bedingungen, können Seitenkanalangriffe angewendet werden, um an Speicherdaten zu gelangen.
Außerdem hat AMD einen PDF-Guide mit zusätzlichen Informationen zu diesen Sicherheitslücken veröffentlicht. [3]
Betroffene Systeme
AMD EPYC Systeme:
- Systeme mit "Zen 3" AMD EPYC 7003 Milan Prozessoren
- Systeme mit "Zen 4" AMD EPYC 9004 Genoa und Bergamo & 8004 Siena Prozessoren
AMD Threadripper Systeme:
- Systeme mit AMD Ryzen Threadripper PRO 7000WX Prozessoren
Problemlösung
Hier eine tabellarische Aufstellung der entsprechenden CVEs und AGESA & Firmware-Updates zur Behebung, für die jeweilige EPYC / Threadripper-Generation, falls vorhanden.
AMD EPYC 7003 Milan:
| Sicherheitslücke | Gefährdungspotential: | AGESA Version |
|---|---|---|
| CVE-2024-36350 | 5.6 (Mittel) | MilanPI 1.0.0.G + OS Updates (2025-01-29) |
| CVE-2024-36357 | 5.6 (Mittel) | MilanPI 1.0.0.G + OS Updates (2025-01-29) |
| CVE-2024-36348 | 3.8 (Niedrig) | Kein Fix nötig |
| CVE-2024-36349 | 3.8 (Niedrig) | Kein Fix nötig |
AMD EPYC 9004 Genoa/Bergamo & 8004 Siena:
| Sicherheitslücke | Gefährdungspotential: | AGESA Version |
|---|---|---|
| CVE-2024-36350 | 5.6 (Mittel) | GenoaPI 1.0.0.E + OS Updates (2024-12-16) |
| CVE-2024-36357 | 5.6 (Mittel) | GenoaPI 1.0.0.E + OS Updates (2024-12-16) |
| CVE-2024-36348 | 3.8 (Niedrig) | Kein Fix nötig |
| CVE-2024-36349 | 3.8 (Niedrig) | Kein Fix nötig |
AMD Ryzen Threadripper 7000 Storm Peak:
| Sicherheitslücke | Gefährdungspotential: | AGESA Version |
|---|---|---|
| CVE-2024-36350 | 5.6 (Mittel) | StormPeakPI-SP6 1.1.0.0i + OS Updates (2024-12-16)
StormPeakPI-SP6 1.0.0.1k + OS Updates (2024-12-19) |
| CVE-2024-36357 | 5.6 (Mittel) | StormPeakPI-SP6 1.1.0.0i + OS Updates (2024-12-16)
StormPeakPI-SP6 1.0.0.1k + OS Updates (2024-12-19) |
| CVE-2024-36348 | 3.8 (Niedrig) | Kein Fix nötig |
| CVE-2024-36349 | 3.8 (Niedrig) | Kein Fix nötig |
Supermicro hat ein Security Bulletin zu den Sicherheitslücken veröffentlicht. Eine Liste mit BIOS-Versionen der jeweiligen Mainboards, mit einer AGESA-Version, um die Lücken zu schließen, ist auch enthalten. Nachfolgend ein Auszug aus dieser Tabelle, in der alle Mainboards aufgeführt sind, die von Thomas Krenn angeboten werden: [4]
| AMD Motherboard | BIOS Version |
|---|---|
| H12SSW-iN/NT | 3.3 |
| H12SSL-i/C/CT/NT | 3.3 |
| H12DSi-N6/NT6 | 3.3 |
| H13SSW | 3.5 |
| H13SSL-N/NC | 3.4 |
Updates für Produkte von Thomas-Krenn
Updates zum jeweiligen System finden Sie im Downloadbereich von Thomas-Krenn. Die Versionen im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.
Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus oder Supermicro beziehen.
Einzelnachweise
- ↑ AMD Transient Scheduler Attacks, Juli 2025 (www.amd.com/en/resources/product-security)
- ↑ Enter, Exit, Page Fault, Leak: Testing Isolation Boundaries for Microarchitectural Leaks, Juli 2025 (www.microsoft.com)
- ↑ Mitigating Transient Scheduler Attacks - Juli 2025 (www.amd.com)
- ↑ AMD Security Bulletin AMD-SB-7029, Juli 2025 (www.supermicro.com)
Weitere Informationen
- Neue Sicherheitslücken in verschiedenen modernen Ryzen und Epyc Prozessoren AMDs (www.heise.de, 09.07.2025)
 |
Autor: Thomas-Krenn.AG Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.
|
