Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2020-00130

CVSS: 6.5

28.10.2019

Уязвимость реализации технологии Intel Transactional Synchronization Extensions (TSX) микропрограммного обеспечения процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию

Уязвимость реализации технологии Intel Transactional Synchronization Extensions (TSX) микропрограммного обеспечения процессоров Intel связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию путём реализации атаки по побочным каналам

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	28.10.2019
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Несанкционированный сбор информации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций производителя: Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.154 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.84 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.202 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.202 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.11 Для продуктов Intel Corp.: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html Для программных продуктов Red Hat Inc: https://access.redhat.com/security/cve/cve-2019-11135 Для программных продуктов Microsoft Corp.: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2019-11135 Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00045.html http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00046.html http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00042.html Для Ubuntu: https://usn.ubuntu.com/4186-2/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I5WWPW4BSZDDW7VHU427XTVXV7ROOFFW/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZYATWNUGHRBG6I3TC24YHP5Y3J7I6KH/ Для Astra Linux: Обновление программного обеспечения (пакета linux-4.9) до 4.9.189-3+deb9u2~deb8u1 или более поздней версии Для ОС ОН «Стрелец»: Обновление программного обеспечения xen до версии 4.8.5.final+shim4.10.4-1+deb9u12 Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-200	Разглашение важной информации лицам без соответствующих прав

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2019-11135	TSX Asynchronous Abort condition on some CPUs utilizing speculative execution may allow an authenticated user to potentially...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
4.6	MEDIUM	2.0	AV:L/AC:L/Au:S/C:C/I:N/A:N
6.5	MEDIUM	3.0	AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2019-11135

Вендор:	Microsoft Corp. ООО «РусБИТех-Астра» Red Hat Inc. Сообщество свободного программного обеспечения Intel Corp. Novell Inc. Fedora Project Canonical Ltd. Oracle Corp. АО «Концерн ВНИИНС»
Тип ПО:	Операционная система ПО программно-аппаратных средств защиты Микропрограммный код ПО сетевого программно-аппаратного средства Сетевое программное средство
Наименование ПО:	Windows Astra Linux Special Edition Red Hat Enterprise Linux Debian GNU/Linux 8th Generation Intel Core 9th Generation Intel Core OpenSUSE Leap Fedora Ubuntu Red Hat Enterprise Virtualization 2nd Generation Intel Xeon Scalable Processor 10th Generation Intel Core Intel Xeon Gold Processors Intel Xeon W Processor Intel Xeon Processor E Family Intel Celeron Processor 5000 Series Sun ZFS Storage Appliance Kit ОС ОН «Стрелец» Linux
Версия ПО:	Server 2008 R2 SP1 (Windows) 7 SP1 (Windows) Server 2008 SP2 (Windows) 8.1 (Windows) Server 2012 (Windows) Server 2012 R2 (Windows) 10 (Windows) 1.5 «Смоленск» (Astra Linux Special Edition) 10 1607 (Windows) 5 (Red Hat Enterprise Linux) 6 (Red Hat Enterprise Linux) Server 2016 (Windows) Server 2008 SP2 Server Core installation (Windows) Server 2012 R2 Server Core installation (Windows) Server 2016 Server Core installation (Windows) 9 (Debian GNU/Linux) Server 2008 R2 SP1 Server Core installation (Windows) Server 2012 Server Core installation (Windows) 10 1709 (Windows) 10 1803 (Windows) Server 1803 (Windows) 10 1809 (Windows) Server 2019 (Windows) Server 2019 Server Core installation (Windows) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) - (8th Generation Intel Core) 10 1903 (Windows) Server 1903 (Windows) - (9th Generation Intel Core) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 30 (Fedora) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 31 (Fedora) 4 (Red Hat Enterprise Virtualization) - (2nd Generation Intel Xeon Scalable Processor) - (10th Generation Intel Core) - (Intel Xeon Gold Processors) - (Intel Xeon W Processor) - (Intel Xeon Processor E Family) - (Intel Celeron Processor 5000 Series) 4.2 (Red Hat Enterprise Virtualization) 8.8 (Sun ZFS Storage Appliance Kit) до 16.01.2023 (ОС ОН «Стрелец») от 4.10 до 4.14.153 включительно (Linux) от 4.15 до 4.19.83 включительно (Linux) от 4.20 до 5.3.10 включительно (Linux) от 4.0 до 4.4.201 включительно (Linux) от 4.5 до 4.9.201 включительно (Linux)
ОС и аппаратные платформы:	Windows (Server 2008 R2 SP1) Windows (7 SP1) Windows (Server 2008 SP2) Windows (8.1) Windows (Server 2012) Windows (Server 2012 R2) Windows (10) Astra Linux Special Edition (1.5 «Смоленск») Windows (10 1607) Red Hat Enterprise Linux (5) Red Hat Enterprise Linux (6) Windows (Server 2016) Windows (Server 2008 SP2 Server Core installation) Windows (Server 2012 R2 Server Core installation) Windows (Server 2016 Server Core installation) Debian GNU/Linux (9) Windows (Server 2008 R2 SP1 Server Core installation) Windows (Server 2012 Server Core installation) Windows (10 1709) Windows (10 1803) Windows (Server 1803) Windows (10 1809) Windows (Server 2019) Windows (Server 2019 Server Core installation) Astra Linux Special Edition (1.6 «Смоленск») Debian GNU/Linux (8.0) Windows (10 1903) Windows (Server 1903) OpenSUSE Leap (15.0) OpenSUSE Leap (15.1) Fedora (30) Ubuntu (14.04 ESM) Debian GNU/Linux (10) Fedora (31) Red Hat Enterprise Virtualization (4) Red Hat Enterprise Virtualization (4.2) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	https://access.redhat.com/security/cve/cve-2019-11135 https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11135 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.154 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.84 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.202 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.202 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.11 https://nvd.nist.gov/vuln/detail/CVE-2019-11135 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135 https://security-tracker.debian.org/tracker/CVE-2019-11135 https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-... https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023 https://ubuntu.com/security/notices/USN-4182-1 https://ubuntu.com/security/notices/USN-4182-2 https://ubuntu.com/security/notices/USN-4183-1 https://ubuntu.com/security/notices/USN-4184-1 https://ubuntu.com/security/notices/USN-4185-1 https://ubuntu.com/security/notices/USN-4185-2 https://ubuntu.com/security/notices/USN-4186-1 https://ubuntu.com/security/notices/USN-4186-2 https://ubuntu.com/security/notices/USN-4187-1 https://ubuntu.com/security/notices/USN-4188-1 https://usn.ubuntu.com/usn/usn-4182-1 https://usn.ubuntu.com/usn/usn-4182-2 https://usn.ubuntu.com/usn/usn-4183-1 https://usn.ubuntu.com/usn/usn-4184-1 https://usn.ubuntu.com/usn/usn-4185-1 https://usn.ubuntu.com/usn/usn-4185-2 https://usn.ubuntu.com/usn/usn-4186-1 https://usn.ubuntu.com/usn/usn-4186-2 https://usn.ubuntu.com/usn/usn-4187-1 https://usn.ubuntu.com/usn/usn-4188-1 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/TAA_MCEPSC_i915 https://www.cve.org/CVERecord?id=CVE-2019-11135 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html https://www.oracle.com/security-alerts/cpujan2021.html https://zombieloadattack.com https://zombieloadattack.com/zombieload.pdf

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2020-00130

BDU:2020-00130

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей