Уязвимость BDU:2022-05155

Дата: 14.06.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-05155.

Наименование уязвимости: Уязвимость системы ввода-вывода с отображением памяти (MMIO) процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию.

Описание уязвимости: Уязвимость системы ввода-вывода с отображением памяти (MMIO) процессоров Intel связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию
Уязвимое ПО: Операционная система Microsoft Corp. Windows Server 2008 R2 SP1 | Операционная система Microsoft Corp. Windows 7 SP1 | Операционная система Microsoft Corp. Windows Server 2008 SP2 | Операционная система Microsoft Corp. Windows 7 SP1 | Операционная система Microsoft Corp. Windows 8.1 | Операционная система Microsoft Corp. Windows 8.1 | Операционная система Microsoft Corp. Windows Server 2008 SP2 | Операционная система Microsoft Corp. Windows Server 2012 | Операционная система Microsoft Corp. Windows Server 2012 R2 | Операционная система Microsoft Corp. Windows 10 | Операционная система Microsoft Corp. Windows 10 | Операционная система Microsoft Corp. Windows 10 1607 | Операционная система Microsoft Corp. Windows 10 1607 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. XenServer 7.1 | Операционная система Microsoft Corp. Windows Server 2016 | Операционная система Microsoft Corp. Windows 8.1 RT | Операционная система Microsoft Corp. Windows Server 2008 SP2 Server Core installation | Операционная система Microsoft Corp. Windows Server 2008 SP2 Server Core installation | Операционная система Microsoft Corp. Windows Server 2012 R2 Server Core installation | Операционная система Microsoft Corp. Windows Server 2016 Server Core installation | Операционная система Microsoft Corp. Windows Server 2008 R2 SP1 Server Core installation | Операционная система Microsoft Corp. Windows Server 2012 Server Core installation | Операционная система Oracle Corp. Linux 7 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система Microsoft Corp. Windows Server 2019 | Операционная система Microsoft Corp. Windows Server 2019 Server Core installation | Операционная система Microsoft Corp. Windows 10 1809 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS | Операционная система Debian GNU/Linux 10.0 | Операционная система Canonical Ltd. Ubuntu 14.04 ESM | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS | Операционная система Novell Inc. Suse Linux Enterprise Server 15-LTSS | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS | Операционная система Microsoft Corp. Windows 10 20H2 | Операционная система Microsoft Corp. Windows 10 20H2 | Операционная система Microsoft Corp. Windows 10 20H2 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Microsoft Corp. Windows 10 21H1 | Операционная система Microsoft Corp. Windows 10 21H1 | Операционная система Microsoft Corp. Windows 10 21H1 | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP1 | Операционная система Microsoft Corp. Windows Server 2022 | Операционная система Microsoft Corp. Windows Server 2022 Server Core installation | Операционная система Debian GNU/Linux 11.0 | Операционная система Fedora Project Fedora 35 | Операционная система Microsoft Corp. Windows 11 | Операционная система Microsoft Corp. Windows 11 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система Microsoft Corp. Windows 10 21H2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Операционная система Microsoft Corp. Windows Server 20H2 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Операционная система Fedora Project Fedora 36 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS | ПО виртуализации/ПО виртуального программно-аппаратного средства VMware Inc. VMware ESXi от 7.0 до ESXi 7.0 U3e | ПО виртуализации/ПО виртуального программно-аппаратного средства VMware Inc. VMware ESXi от 6.7 до ESXi 6.7 U3r | ПО виртуализации/ПО виртуального программно-аппаратного средства VMware Inc. VMware ESXi от 6.5 до ESXi 7.0 U3e | Сетевое программное средство VMware Inc. VMware Cloud Foundation от 3.0 до KB88707 | Операционная система Oracle Corp. Linux 8 | Операционная система Novell Inc. openSUSE Leap Micro 5.2 | Микропрограммный код Intel Corp. Intel SGX PSW до 2.16.100.3 | Микропрограммный код Intel Corp. Intel SGX PSW до 2.17.100.3 | ПО программно-аппаратного средства Intel Corp. Intel SGX SDK for Windows до 2.16.100.3 | ПО программно-аппаратного средства Intel Corp. Intel SGX SDK for Linux до 2.17.100.3 | Микропрограммный код Intel Corp. Intel SGX DCAP до 1.14.100.3 | Микропрограммный код Intel Corp. Intel SGX DCAP до 1.14.100.3 | Сетевое программное средство VMware Inc. VMware Cloud Foundation от 4.0 до KB88695 | Операционная система Linux до 5.18.5 | Операционная система Linux до 5.10.123 | Операционная система Linux до 5.15.48 | Операционная система Linux до 5.4.199 | Операционная система Linux до 4.9.319 | Операционная система Linux до 4.14.284 | Операционная система Linux до 4.19.248 | ПО виртуализации/ПО виртуального программно-аппаратного средства Citrix Systems Inc. Xen до 4.15.3 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: Windows Server 2008 R2 SP1 64-bit | Windows 7 SP1 64-bit | Windows Server 2008 SP2 32-bit | Windows 7 SP1 32-bit | Windows 81 64-bit | Windows 81 32-bit | Windows Server 2008 SP2 64-bit | Windows Server 2012 | Windows Server 2012 R2 | Windows 10 64-bit | Windows 10 32-bit | Windows 10 1607 64-bit | Windows 10 1607 32-bit | Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Windows Server 2016 | Windows 81 RT | Windows Server 2008 SP2 Server Core installation 64-bit | Windows Server 2008 SP2 Server Core installation 32-bit | Windows Server 2012 R2 Server Core installation | Windows Server 2016 Server Core installation | Windows Server 2008 R2 SP1 Server Core installation 64-bit | Windows Server 2012 Server Core installation | Linux 7 | Ubuntu 1804 LTS | Windows 10 1809 64-bit | Windows 10 1809 32-bit | Windows Server 2019 | Windows Server 2019 Server Core installation | Windows 10 1809 ARM64 | Astra Linux Special Edition 16 «Смоленск» | SUSE Linux Enterprise Server for SAP Applications 12 SP3 | SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Suse Linux Enterprise Server 12 SP3 | Suse Linux Enterprise Server 12 SP4 | Red Hat Enterprise Linux 8 | Suse Linux Enterprise Server 12 SP2-BCL | SUSE Linux Enterprise Server for SAP Applications 15 | SUSE Linux Enterprise Server for SAP Applications 15 SP1 | Suse Linux Enterprise Server 12 SP3-LTSS | Debian GNU/Linux 100 | Ubuntu 1404 ESM | Suse Linux Enterprise Server 12 SP3-BCL | Suse Linux Enterprise Server 12 SP5 | Suse Linux Enterprise Server 12 SP3-ESPOS | Suse Linux Enterprise Server 15-LTSS | Ubuntu 2004 LTS | Suse Linux Enterprise Server 12 SP4 LTSS | Suse Linux Enterprise Server 12 SP4-ESPOS | Windows 10 20H2 ARM64 | Windows 10 20H2 32-bit | Windows 10 20H2 64-bit | Suse Linux Enterprise Desktop 12 SP5 | Suse Linux Enterprise Server 15 SP1-BCL | Suse Linux Enterprise Server 15 SP1-LTSS | Ubuntu 1604 ESM | Windows 10 21H1 32-bit | Windows 10 21H1 64-bit | Windows 10 21H1 ARM64 | OpenSUSE Leap 153 | Suse Linux Enterprise Server 15 SP1 | Windows Server 2022 | Windows Server 2022 Server Core installation | Debian GNU/Linux 110 | Fedora 35 | Windows 11 64-bit | Windows 11 ARM64 | Ubuntu 2110 | Windows 10 21H2 64-bit | Windows 10 21H2 32-bit | Windows 10 21H2 ARM64 | Astra Linux Special Edition 17 | OpenSUSE Leap 154 | Windows Server 20H2 | Suse Linux Enterprise Server 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Suse Linux Enterprise Desktop 15 SP3 | Suse Linux Enterprise Server 15 SP2 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Fedora 36 | Suse Linux Enterprise Server 15 SP4 | Suse Linux Enterprise Desktop 15 SP4 | Suse Linux Enterprise Server 15 | Suse Linux Enterprise Server 15 SP2-BCL | SUSE Linux Enterprise Server for SAP Applications 15 SP4 | Ubuntu 2204 LTS | Red Hat Enterprise Linux 9 | Suse Linux Enterprise Server 15 SP2-LTSS | Linux 8 | openSUSE Leap Micro 52 | Linux до 5185 | Linux до 510123 | Linux до 51548 | Linux до 54199 | Linux до 49319 | Linux до 414284 | Linux до 419248 | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 14.06.2022.
CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:N/A:N
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)

Возможные меры по устранению:
Использование рекомендаций:

Для Intel:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00615.html

Для VMware:
https://www.vmware.com/security/advisories/VMSA-2022-0016.html
https://kb.vmware.com/s/article/88632

Для Linux (Oracle Corp.):
https://www.oracle.com/security-alerts/linuxbulletinjul2022.html

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21125

Для ядра Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=4419470191386456e0b8ed4eb06a70b0021798a6
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.5
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.123
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.48
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.199
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.319
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.284
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.248

Для программных продуктов Citrix Systems, Inc..:
https://support.citrix.com/article/CTX460064/citrix-hypervisor-security-update
https://support.citrix.com/article/CTX459953/hotfix-xs71ecu2075-for-xenserver-71-cumulative-update-2
https://security.gentoo.org/glsa/202208-23

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FHTEW3RXU2GW6S3RCPQG4VNCZGI3TOSV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MCVOMHBQRH4KP7IN6U24CW7F2D2L5KBS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKRXZ4LHGCGMOG24ZCEJNY6R2BTS4S2Q/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T4P2KJYL74KGLHE4JZETVW7PZH6ZIABA/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21125

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21125

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-21125

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-21125.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.16.2-1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21125. VMSA-2022-0016. INTEL-SA-SA-00615.

Тип ошибки CWE: CWE-200, CWE-459
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.openwall.com/lists/oss-security/2022/06/16/1
https://www.cybersecurity-help.cz/vdb/SB2022062735
https://github.com/advisories/GHSA-wwff-24hj-g6pw
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00615.html
https://www.vmware.com/security/advisories/VMSA-2022-0016.html
https://kb.vmware.com/s/article/88632
https://www.oracle.com/security-alerts/linuxbulletinjul2022.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FHTEW3RXU2GW6S3RCPQG4VNCZGI3TOSV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MCVOMHBQRH4KP7IN6U24CW7F2D2L5KBS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKRXZ4LHGCGMOG24ZCEJNY6R2BTS4S2Q/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T4P2KJYL74KGLHE4JZETVW7PZH6ZIABA/
https://access.redhat.com/security/cve/cve-2022-21125
https://ubuntu.com/security/CVE-2022-21125
https://www.suse.com/security/cve/CVE-2022-21125.html
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21125
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=4419470191386456e0b8ed4eb06a70b0021798a6
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.5
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.123
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.48
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.199
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.319
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.284
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.248
https://support.citrix.com/article/CTX460064/citrix-hypervisor-security-update
https://support.citrix.com/article/CTX459953/hotfix-xs71ecu2075-for-xenserver-71-cumulative-update-2
https://security.gentoo.org/glsa/202208-23
http://xenbits.xen.org/xsa/advisory-404.html
https://security-tracker.debian.org/tracker/CVE-2022-21125
https://lists.debian.org/debian-lts-announce/2022/07/msg00000.html
https://www.debian.org/security/2022/dsa-5178
https://www.debian.org/security/2022/dsa-5184
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *