КиберосноваSGRC
BDU:2019-00768
Средний

BDU:2019-00768: Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного выполнения и чтения из памяти до возврата адресов предыдущих операций записи в память, позволяющая нарушителю раскрыть защищаемую информацию

CVSS v35.5
CVSS v24.6

Детали уязвимости BDU:2019-00768

Описание

Уязвимость процессоров Intel и ARM связана с использованием спекулятивного выполнения и чтения из памяти до возврата адресов предыдущих операций записи в память. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию с помощью специально сформированного приложения

Что делать с BDU:2019-00768

Уязвимость среднего уровня (CVSS 5.5) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.5Средний
Пересчитать →
v2
4.6
Только просмотр
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:NAV:L/AC:L/Au:S/C:C/I:N/A:N

CWE — тип уязвимости

CVE — международный идентификатор

CWE-200
Раскрытие информации

Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.

Как атакуют и что делать ▾

Сценарий атаки

Сервер возвращает стек вызовов, пути к файлам, версии ПО, SQL-запросы в сообщениях об ошибках.

Последствия

Утечка внутренней архитектуры, помогает атакующему планировать дальнейшие шаги.

Рекомендации

Отключите подробные ошибки в production, используйте generic error pages, логируйте на сервере.

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (195)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux664-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux7System Z
Oracle Corp.Solaris11SPARC
Red Hat Inc.Red Hat Enterprise Linux7IA-32
Red Hat Inc.Red Hat Enterprise Linux6.4 Advanced Update SupportIA-32
Red Hat Inc.Red Hat Enterprise Linux6.5 Advanced Update SupportIA-32
Red Hat Inc.Red Hat Enterprise Linux6.6 Advanced Update SupportIA-32
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»64-bit
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»Не указана
АО «ИВК»Альт Линукс СПТ7.0Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Novell Inc.OpenSUSE Leap42.3Не указана
ARM LimitedARM Cortex-A75-Не указана
ARM LimitedARM Cortex-A57-Не указана
ARM LimitedARM Cortex-A72-Не указана
ARM LimitedARM Cortex-A73-Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
Juniper Networks Inc.Junos Space Network Management Platformдо 18.3R1 включительноНе указана
Siemens AGSIMATIC ITC1500до 3.1Не указана
Siemens AGSIMATIC ITC1500 PROдо 3.1Не указана
Siemens AGSIMATIC ITC1900до 3.1Не указана
Siemens AGSIMATIC ITC1900 PROдо 3.1Не указана
Siemens AGSIMATIC ITC2200до 3.1Не указана
Siemens AGSIMATIC ITC2200 PROдо 3.1Не указана
Intel Corp.Intel Core2nd generationНе указана
Intel Corp.Intel Core3rd generationНе указана
Intel Corp.Intel Core4th generationНе указана
Intel Corp.Intel Core5th generationНе указана
Intel Corp.Intel Core6th generationНе указана
Intel Corp.Intel Core7th generationНе указана
Intel Corp.Intel Core8th generationНе указана
Intel Corp.Intel Corei3Не указана
Intel Corp.Intel Corei5Не указана
Intel Corp.Intel Corei7Не указана
Intel Corp.Intel CoreMНе указана
Intel Corp.Intel CoreX-seriesНе указана
ARM LimitedARM Cortex-A76-Не указана
Intel Corp.Intel Xeon3400 seriesНе указана
Intel Corp.Intel Xeon3500 seriesНе указана
Intel Corp.Intel Xeon3600 seriesНе указана
Intel Corp.Intel Xeon5500 seriesНе указана
Intel Corp.Intel Xeon5600 seriesНе указана
Intel Corp.Intel Xeon6500 seriesНе указана
Intel Corp.Intel Xeon7500 seriesНе указана
Intel Corp.Intel XeonE3 FamilyНе указана
Intel Corp.Intel XeonE3 v2 FamilyНе указана
Intel Corp.Intel XeonE3 v3 FamilyНе указана
Intel Corp.Intel XeonE3 v4 FamilyНе указана
Intel Corp.Intel XeonE3 v5 FamilyНе указана
Intel Corp.Intel XeonE3 v6 FamilyНе указана

Показано 50 из 195

Среды функционирования (38)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux664-bit
Сообщество свободного программного обеспеченияDebian GNU/Linux7System Z
Oracle Corp.Solaris11SPARC
Red Hat Inc.Red Hat Enterprise Linux7IA-32
Red Hat Inc.Red Hat Enterprise Linux6.4 Advanced Update SupportIA-32
Red Hat Inc.Red Hat Enterprise Linux6.5 Advanced Update SupportIA-32
Red Hat Inc.Red Hat Enterprise Linux6.6 Advanced Update SupportIA-32
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»64-bit
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»Не указана
Red Hat Inc.Red Hat Enterprise Linux6Не указана
Red Hat Inc.Red Hat Enterprise Linux7Не указана
АО «ИВК»Альт Линукс СПТ7.0Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux9Не указана
Novell Inc.OpenSUSE Leap42.3Не указана
Oracle Corp.Solaris11Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.6 «Смоленск»Не указана
АО «ИВК»Альт 8 СП Рабочая станция-Не указана
Novell Inc.OpenSUSE Leap15.032-bit
Novell Inc.OpenSUSE Leap15.0Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux8Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux10Не указана
Red Hat Inc.Red Hat Enterprise Linux7.4 Extended Update SupportНе указана
Сообщество свободного программного обеспеченияDebian GNU/Linux7Не указана
Red Hat Inc.Red Hat Enterprise Linux7.2 Advanced Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux7.2 Telco Extended Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux5 Extended Lifecycle SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux5.9 Long LifeНе указана
Red Hat Inc.Red Hat Enterprise Linux7.3 Extended Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux6.5 Advanced Update SupportНе указана
Red Hat Inc.Red Hat Enterprise Linux6.6 Advanced Update SupportНе указана

Рекомендации по устранению

Использование рекомендаций: Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.86 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.16.11 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.168 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.144 Обновление программного обеспечения до V3.1: https://support.industry.siemens.com/cs/ww/en/view/109761864 Для SIMATIC Field PG M4 до версии BIOS V18.01.09: https://support.industry.siemens.com/cs/de/en/view/109037537 Для SIMATIC Field PG M5 до версии BIOS V22.01.06: https://support.industry.siemens.com/cs/de/en/view/109738122 Для SIMATIC ET 200 SP Open Controller и SIMATIC ET 200 SP Open Controller (F) до V2.6: https://support.industry.siemens.com/cs/ww/en/view/109759122 Для SIMATIC HMI Basic Panels 2nd Generation до V15.1: https://support.industry.siemens.com/cs/ww/en/view/109761203 Для SIMATIC HMI Comfort 15-22 Panels, SIMATIC HMI Comfort 4-12" Panels, SIMATIC HMI Comfort PRO Panels и SIMATIC HMI KTP Mobile Panels до V15 Upd 2: https://support.industry.siemens.com/cs/ww/en/view/109755826 Для SIMATIC IPC3000 SMART V2 и SIMATIC IPC347E до версии BIOS V1.5: https://support.industry.siemens.com/cs/ww/en/view/109759824 Для SIMATIC IPC427D, SIMATIC IPC477D, SIMOTION P320-4E и SIMOTION P320-4S до версии BIOS V17.0X.14: https://support.industry.siemens.com/cs/de/en/view/108608500 Для SIMATIC IPC427E, SIMATIC IPC477E и SIMATIC IPC477E Pro до версии BIOS V21.01.09: https://support.industry.siemens.com/cs/de/en/view/109742593 Для SIMATIC IPC547E до версии BIOS R1.30.0: https://support.industry.siemens.com/cs/us/en/view/109481624 Для SIMATIC IPC547G до версии BIOS R1.23.0: https://support.industry.siemens.com/cs/us/en/view/109750349 Для SIMATIC IPC627D, SIMATIC IPC677D и SIMATIC IPC827D до версии BIOS V19.02.11: https://support.industry.siemens.com/cs/ww/de/view/109474954 Для SIMATIC IPC627C, SIMATIC IPC677C и SIMATIC IPC827C до версии BIOS V15.02.15: https://support.industry.siemens.com/cs/ww/en/view/48792087 Для SIMATIC IPC647C и SIMATIC IPC847C до версии BIOS V15.01.14: https://support.industry.siemens.com/cs/ww/en/view/48792076 Для SIMATIC IPC647D и SIMATIC IPC847D до версии BIOS V19.01.14: https://support.industry.siemens.com/cs/ww/en/view/109037779 Для SIMATIC ITP1000 до версии BIOS V23.01.04: https://support.industry.siemens.com/cs/us/en/view/109748173 Для SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP, SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK, SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK и SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP до версии BIOS V2.6: https://support.industry.siemens.com/cs/ww/en/view/109478459 Компенсирующие меры: Для RUGGEDCOM APE и RUGGEDCOM RX1400 VPE: Применение исправлений Debian по мере их появления Ограничение возможностей запуска ненадежного кода, если это возможно Применение концепции углубленной защиты https://www.siemens.com/industrialsecurity Для ОС ОН «Стрелец»: Обновление программного обеспечения libvirt до версии 3.0.0-4+deb9u5 Для ОС Astra Linux 1.5 https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483 Для ОС Astra Linux 1.6 https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.5

Уточните SLA под вашу среду

Базовый балл 5.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации60.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-05-03

Опубликована

2019-02-26

Обновлена

2026-03-23

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Сертификация ФСТЭК

Продукт сертифицирован ФСТЭК России — сертификат 2557 (действует).

Карточка сертификата в реестре СЗИ

Сертификация подтверждает соответствие требованиям по защите информации на момент выдачи и не гарантирует отсутствие уязвимостей.

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0