Σοβαρή ευπάθεια στην εντολή RDSEED των AMD Zen 5

Η AMD επιβεβαίωσε ζήτημα στην εντολή RDSEED (Random Seed — εντολή παραγωγής αρχικών τιμών τυχαιότητας από το hardware) των επεξεργαστών Zen 5, με αναφορά AMD-SB-7055, CVE-2025-62626 (κωδικός ευπάθειας), CVSS 7.2 — High (υψηλή σοβαρότητα). Υπό ορισμένες συνθήκες, η RDSEED επιστρέφει 0 με CF=1 (η σημαία επιτυχίας είναι ενεργή), κάτι που συνιστά εσφαλμένο χειρισμό αποτυχίας και μπορεί να οδηγήσει σε χρήση ανεπαρκώς τυχαίων τιμών σε κρυπτογραφικές ροές. Το θέμα αναφέρθηκε δημόσια στο LKML (Linux Kernel Mailing List) και όχι μέσω της διαδικασίας CVD (Coordinated Vulnerability Disclosure — συντονισμένη αποκάλυψη ευπαθειών) της AMD. Η εταιρεία διευκρινίζει ότι επηρεάζονται οι μορφές 16-bit και 32-bit της εντολής, ενώ η 64-bit δεν επηρεάζεται.

Στο επίπεδο προϊόντων, επηρεάζονται όλες οι σειρές με πυρήνες Zen 5: EPYC 9005, Ryzen 9000 (desktop), Ryzen 9000HX, Ryzen AI 300, Ryzen AI Max 300, Ryzen Z2 Series (Z2, Z2 Extreme), Ryzen Threadripper 9000 και Threadripper PRO 9000 WX, καθώς και οι embedded πλατφόρμες EPYC Embedded 9005/4005 και Ryzen Embedded 9000. Οι διορθώσεις θα διανεμηθούν στους κατασκευαστές ως microcode και μέσω BIOS/AGESA (πλατφόρμα προσαρμογής firmware της AMD). Σύμφωνα με τον προγραμματισμό της AMD, στόχος είναι: EPYC 9005 με microcode από τα τέλη Οκτωβρίου και AGESA γύρω στις 14 Νοεμβρίου 2025, οι καταναλωτικές σειρές (Ryzen 9000/9000HX, AI 300/Max 300, Z2/Extreme, Threadripper 9000/PRO 9000 WX) έως τα τέλη Νοεμβρίου 2025, ενώ για τις embedded εκδόσεις προβλέπεται Ιανουάριος 2026. Ο ακριβής χρόνος διάθεσης προς τους τελικούς χρήστες εξαρτάται από τους OEM (κατασκευαστές συστημάτων) και τους προμηθευτές μητρικών που θα ενσωματώσουν τις νέες εκδόσεις BIOS.

Μέχρι να εγκατασταθούν οι τελικές διορθώσεις, η AMD προτείνει προσωρινές λύσεις: χρήση της 64-bit RDSEED που δεν επηρεάζεται, απόκρυψη της δυνατότητας RDSEED μέσω CPUID (αναγνωριστικό χαρακτηριστικών επεξεργαστή, π.χ. clearcpuid=rdseed στη γραμμή εκκίνησης ή ισοδύναμη ρύθμιση σε VM), και χειρισμό της τιμής 0 ως αποτυχία με νέα προσπάθεια (επανάληψη) όπως όταν CF=0. Οι προσεγγίσεις αυτές μειώνουν την πιθανότητα να περάσουν αρχικές τιμές (seed) χαμηλής ποιότητας προς βιβλιοθήκες/στοίβες που βασίζονται άμεσα στη RDSEED.

Η αναπαραγωγή του προβλήματος τεκμηριώθηκε δημόσια από μηχανικό της Meta: σε σενάρια έντονου φόρτου όπου νήματα καλούν επανειλημμένα την RDSEED ενώ άλλο νήμα καταναλώνει περίπου 90% της μνήμης, παρατηρήθηκε αυξημένη συχνότητα του συμβάντος (τιμή=0, CF=1) σε διαφορετικά μοντέλα Zen 5, οδηγώντας την κοινότητα του Linux σε προληπτική απενεργοποίηση της δυνατότητας μέχρι να φτάσουν οι επίσημες ενημερώσεις firmware. Ιστορικά, αντίστοιχα προσωρινά μέτρα έχουν εφαρμοστεί και σε παλαιότερες σειρές AMD (π.χ. σε συγκεκριμένες APU Zen 2), επομένως αναμένεται παρόμοια μεταβατική στάση από διανομές/λειτουργικά έως ότου ολοκληρωθεί ο κύκλος ενημερώσεων BIOS.

Σε περιβάλλοντα με έντονο κρυπτογραφικό φόρτο, λειτουργίες τύπου HSM (Hardware Security Module — μονάδες ασφαλείας υλικού), confidential computing (εμπιστευτικοί υπολογισμοί) ή υπηρεσίες που απαιτούν υψηλή ποιότητα εντροπίας, συνίσταται: συχνός έλεγχος για νέες εκδόσεις BIOS/AGESA, αξιολόγηση και —όπου είναι εφικτό— ενεργοποίηση των προσωρινών λύσεων, και στενή παρακολούθηση των ενημερώσεων από τους προμηθευτές λογισμικού, καθώς οι στοιβές TLS/κρυπτογραφίας ενδέχεται να προσαρμόσουν προσωρινά την πολιτική χρήσης της RDSEED. Στα περισσότερα consumer σενάρια δεν απαιτούνται ενέργειες πέρα από την εγκατάσταση του επικείμενου BIOS, αλλά τα επαγγελματικά/server περιβάλλοντα καλό είναι να κινηθούν προληπτικά.