Az AMD megerősítette, hogy a Zen 5 architektúrájú processzorokon a hardveres véletlenszám-generátorhoz kapcsolódó RDSEED utasítás 16 és 32 bites formája ritka, de biztonságilag problémás kimenetet adhat. Mivel az eredeti közlés dátuma 2025. október 23., az alábbi anyag háttérelemzésként készül (nem friss hír), a gyakorlati teendőkre és a kockázatkezelésre fókuszálva.
Bevezető – a lényeg röviden
Az RDSEED célja, hogy kriptográfiai célokra is megfelelő, nagy entropiájú véletlen értékeket szolgáltasson. Zen 5-ön azonban a 16/32 bites forma egy ritka, de létező hiba miatt előfordulhat, hogy „0” értéket ad vissza úgy, hogy közben sikeresnek jelzi a műveletet (CF=1). A 64 bites RDSEED verziót az AMD nem tartja érintettnek. A javítás mikrokód/AGESA frissítésekkel érkezik, asztali alaplapokra BIOS-frissítések formájában.
Kontextus – hogyan derült ki?
A probléma október közepén került elő a Linux kernel levelezőlistáján, majd az AMD 2025. október 23-án közzétette a hivatalos biztonsági közleményt (AMD-SB-7055). Több szakmai médium (pl. Phoronix, Tom’s Hardware) részletesen ismertette a hibát és a tervezett javítások ütemét.
Mi változott most?
- Az AMD kifejezetten a 16/32 bites RDSEED formát jelöli érintettnek; a 64 bites változatot nem.
- Megvannak a célidők: szerver oldalon (EPYC 9005) mikrokód-javítás, asztali/mobil fronton (Ryzen 9000, Threadripper 9000 stb.) AGESA-alapú BIOS-frissítések.
- Ideiglenes szoftveres kerülőutak: 64 bites RDSEED használata, az RDSEED CPUID-bit elrejtése a szoftver elől, illetve a „0” visszatérések hibaként kezelése és újrapróbálás.
Miért fontos? – gyakorlati hatások
Az entropia gyengülése kriptográfiai műveleteknél (kulcsgenerálás, TLS/VPN, tokenek) kockázatot jelenthet. A hiba nem azt jelenti, hogy „minden törékeny”, de a „nem elég véletlen” magértékek rossz pillanatban rossz helyre kerülhetnek. A vállalati és szerveres környezetekben ezért különösen fontos a gyors frissítés és/vagy a szoftveres mitigációk bekapcsolása.
Számok és adatok
| Legfontosabb paraméter(ek) | RDSEED 16/32 bites anomália Zen 5-ön; 64 bit nem érintett |
|---|---|
| Hivatalos azonosító | AMD-SB-7055; kapcsolódó CVE: CVE-2025-62626 |
| Eredeti publikáció | 2025-10-23 (AMD biztonsági közlemény) |
| Súlyosság | High (CVSS 7.2 – AMD besorolás) |
| Ideiglenes kerülőút | 64 bites RDSEED használata; RDSEED bit elrejtése; „0” visszatérés = hiba, retry |
| Javítási csatorna | Mikrokód (szerver) és AGESA/BIOS (asztali/mobil) |
| Célidők (AMD szerint) | EPYC: 2025-11-14 körül; Ryzen/Threadripper: 2025-11 vége |
Magyar vonatkozás – mit tegyen egy hazai felhasználó vagy rendszergazda?
- Asztali AM5 platformon (Ryzen 9000 sorozat) rendszeresen nézd az alaplapgyártó oldalát (ASUS, MSI, Gigabyte, ASRock) és telepítsd a legfrissebb BIOS-t, amint megjelenik az új AGESA-val.
- Linuxon ideiglenesen tiltható az RDSEED használata, vagy a „0” visszatérési értéket hibaként kezelve lehet újrapróbálni; számos disztribúció átmeneti patch-et vezet be.
- Vállalati környezetben a kulcs- és tanúsítványkezelési folyamatokat érdemes felülvizsgálni, ahol az RDSEED közvetlenül a lánc része lehetett.
Kilátások és következő lépések
- CPU-azonosítás: ha Zen 5 (Ryzen 9000, Threadripper 9000, EPYC 9005), tervezd be a frissítést.
- BIOS/firmware frissítési ablak: szerver oldalon november közepi, asztali/mobil fronton november végi célidők a gyártói BIOS-okhoz.
- Ideiglenes mitigáció: 64 bites RDSEED preferálása, CPUID-bit maszkolása, „0=hiba” logika bevezetése.
- Utóellenőrzés: kriptográfiai komponensek auditja (kulcsgenerálás, tokenek), naplózás és visszamérés.
GYIK – gyors válaszok
- Érint minden Zen 5-öt? Igen, a 16/32 bites RDSEED forma érintett; a 64 bites nem.
- Frissítés nélkül biztonságos? Átmenetileg mitigációkkal csökkenthető a kockázat, de a frissítés erősen javasolt.
- Windows alatt van teendő? Igen: figyeld az OEM BIOS-frissítést; szoftveroldali könyvtárak/SDK-k frissítése is ajánlott.
