СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
28.02.2022

Уязвимость BDU:2022-03555

Уязвимость BDU:2022-03555

Идентификатор: BDU:2022-03555.

Наименование уязвимости: Уязвимость модуля LFENCE/JMP процессоров AMD, позволяющая нарушителю раскрыть защищаемую информацию.

Описание уязвимости: Уязвимость модуля LFENCE/JMP процессоров AMD связана с особенностями функционирования модуля прогнозирования ветвлений. Эксплуатация уязвимости позволяет нарушителю получить доступ к защищенной памяти из программы, не обладающей соответствующими привилегиями, путём использования механизма прогнозирования косвенных переходов
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Debian GNU/Linux 9 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Canonical Ltd. Ubuntu 21.04 | Операционная система Debian GNU/Linux 11 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Микропрограммный код аппаратных компонент компьютера Advanced Micro Devices Inc. 1st Gen AMD EPYC — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD EPYC — | Микропрограммный код аппаратных компонент компьютера Advanced Micro Devices Inc. 3rd Gen AMD EPYC — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 2000 series Desktop — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 3000 Series Desktop — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 4000 Series Desktop processors with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 5000 Series Desktop processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD Ryzen Threadripper — | Микропрограммный код Advanced Micro Devices Inc. 3rd Gen AMD Ryzen Threadripper — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen Threadripper PRO processors — | Микропрограммный код Advanced Micro Devices Inc. AMD Athlon 3000 Series Mobile processors with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 2000 Series Mobile processor — | Микропрограммный код Advanced Micro Devices Inc. 2nd Gen AMD Ryzen Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 3000 Series Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 4000 Series Mobile processors with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Ryzen 5000 Series Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Athlon 3000 Series Mobile processor with Radeon graphics — | Микропрограммный код Advanced Micro Devices Inc. AMD Athlon Mobile processor with Radeon graphics — | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 | Операционная система Linux от 4.0 до 4.9.305 включительно | Операционная система Linux от 4.10 до 4.14.270 включительно | Операционная система Linux от 4.15 до 4.19.233 включительно | Операционная система Linux от 4.20 до 5.4.183 включительно | Операционная система Linux от 5.5 до 5.10.104 включительно | Операционная система Linux от 5.11 до 5.15.27 включительно | Операционная система Linux от 5.16 до 5.16.13 включительно |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Debian GNU/Linux 9 | Ubuntu 1804 LTS | Astra Linux Special Edition 16 «Смоленск» | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Ubuntu 2004 LTS | Ubuntu 2104 | Debian GNU/Linux 11 | Ubuntu 2110 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 27 | Linux от 40 до 49305 включительно | Linux от 410 до 414270 включительно | Linux от 415 до 419233 включительно | Linux от 420 до 54183 включительно | Linux от 55 до 510104 включительно | Linux от 511 до 51527 включительно | Linux от 5160 до 51613 включительно |
Дата выявления: 28.02.2022.
CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)
Нет опасности уровень опасности (базовая оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
Использование рекомендаций:
Для продуктов Advanced Micro Devices Inc.:
https://www.amd.com/system/files/documents/software-techniques-for-managing-speculation.pdf
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1036

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-26401

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5415-1
https://ubuntu.com/security/notices/USN-5417-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-26401

Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.306
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.271
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.234
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.184
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.105
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.28
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.14

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-26401. AMD-SB-1036.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2022/03/18/2
https://access.redhat.com/security/cve/CVE-2021-26401
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26401
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.271
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.234
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.306
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.105
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.28
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.14
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.184
https://security-tracker.debian.org/tracker/CVE-2021-26401
https://ubuntu.com/security/notices/USN-5415-1
https://ubuntu.com/security/notices/USN-5417-1
https://ubuntu.com/security/notices/USN-5418-1
https://ubuntu.com/security/notices/USN-6001-1
https://ubuntu.com/security/notices/USN-6013-1
https://ubuntu.com/security/notices/USN-6014-1
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1036
https://www.amd.com/system/files/documents/software-techniques-for-managing-speculation.pdf
https://www.cve.org/CVERecord?id=CVE-2021-26401
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: