КиберосноваSGRC
BDU:2019-01065
Низкий

BDU:2019-01065: Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного считывания системных регистров, позволяющая нарушителю раскрыть защищаемую информацию

CVSS v34.3
CVSS v22.1

Детали уязвимости BDU:2019-01065

Описание

Уязвимость процессоров Intel и ARM связана с использованием спекулятивного считывания системных регистров. Эксплуатация уязвимости может позволить нарушителю раскрыть системные параметры с помощью специально сформированного приложения

Что делать с BDU:2019-01065

Низкая уязвимость (CVSS 4.3) — устраните при плановом обновлении. Если уязвимый компонент не используется в критичных системах, риск минимален.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
4.3Средний
Пересчитать →
v2
2.1
Только просмотр
AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:NAV:L/AC:L/Au:N/C:P/I:N/A:N

CWE — тип уязвимости

CVE — международный идентификатор

CWE-200
Раскрытие информации

Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.

Как атакуют и что делать ▾

Сценарий атаки

Сервер возвращает стек вызовов, пути к файлам, версии ПО, SQL-запросы в сообщениях об ошибках.

Последствия

Утечка внутренней архитектуры, помогает атакующему планировать дальнейшие шаги.

Рекомендации

Отключите подробные ошибки в production, используйте generic error pages, логируйте на сервере.

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (106)

ВендорНазваниеВерсияПлатформа
ARM LimitedARM Cortex-A57-Не указана
ARM LimitedARM Cortex-A72-Не указана
Intel Corp.Intel Xeon3400 seriesНе указана
Intel Corp.Intel Xeon3500 seriesНе указана
Intel Corp.Intel Xeon3600 seriesНе указана
Intel Corp.Intel Xeon5500 seriesНе указана
Intel Corp.Intel Xeon5600 seriesНе указана
Intel Corp.Intel Xeon6500 seriesНе указана
Intel Corp.Intel Xeon7500 seriesНе указана
Intel Corp.Intel XeonE3 FamilyНе указана
Intel Corp.Intel XeonE3 v2 FamilyНе указана
Intel Corp.Intel XeonE3 v3 FamilyНе указана
Intel Corp.Intel XeonE3 v4 FamilyНе указана
Intel Corp.Intel XeonE3 v5 FamilyНе указана
Intel Corp.Intel XeonE3 v6 FamilyНе указана
Intel Corp.Intel XeonE5 FamilyНе указана
Intel Corp.Intel XeonE5 v2 FamilyНе указана
Intel Corp.Intel XeonE5 v3 FamilyНе указана
Intel Corp.Intel XeonE5 v4 FamilyНе указана
Intel Corp.Intel XeonE5 v5 FamilyНе указана
Intel Corp.Intel XeonE5 v6 FamilyНе указана
Intel Corp.Intel XeonE7 FamilyНе указана
Intel Corp.Intel XeonE7 v2 FamilyНе указана
Intel Corp.Intel XeonE7 v3 FamilyНе указана
Intel Corp.Intel XeonE7 v4 FamilyНе указана
Intel Corp.Intel XeonScalable FamilyНе указана
Intel Corp.Intel PentiumJ4205Не указана
Intel Corp.Intel PentiumJ5005Не указана
Intel Corp.Intel PentiumN4000Не указана
Intel Corp.Intel PentiumN4100Не указана
Intel Corp.Intel PentiumN4200Не указана
Intel Corp.Intel PentiumN5000Не указана
Intel Corp.Intel AtomC3308Не указана
Intel Corp.Intel AtomC3338Не указана
Intel Corp.Intel AtomC3508Не указана
Intel Corp.Intel AtomC3538Не указана
Intel Corp.Intel AtomC3558Не указана
Intel Corp.Intel AtomC3708Не указана
Intel Corp.Intel AtomC3750Не указана
Intel Corp.Intel AtomC3758Не указана
Intel Corp.Intel AtomC3808Не указана
Intel Corp.Intel AtomC3830Не указана
Intel Corp.Intel AtomC3850Не указана
Intel Corp.Intel AtomC3858Не указана
Intel Corp.Intel AtomC3950Не указана
Intel Corp.Intel AtomC3955Не указана
Intel Corp.Intel AtomC3958Не указана
Intel Corp.Intel AtomE SeriesНе указана
Intel Corp.Intel AtomA SeriesНе указана
Intel Corp.Intel Atomx5-E3930Не указана

Показано 50 из 106

Рекомендации по устранению

Обновление программного обеспечения: Для SIMATIC Field PG M4 до версии BIOS V18.01.09: https://support.industry.siemens.com/cs/de/en/view/109037537 Для SIMATIC Field PG M5 до версии BIOS V22.01.06: https://support.industry.siemens.com/cs/de/en/view/109738122 Для SIMATIC ET 200 SP Open Controller и SIMATIC ET 200 SP Open Controller (F) до V2.6^ https://support.industry.siemens.com/cs/ww/en/view/109759122 Для SIMATIC HMI Basic Panels 2nd Generation до V15.1: https://support.industry.siemens.com/cs/ww/en/view/109761203 Для SIMATIC HMI Comfort 15-22 Panels, SIMATIC HMI Comfort 4-12" Panels, SIMATIC HMI Comfort PRO Panels и SIMATIC HMI KTP Mobile Panels до V15 Upd 2: https://support.industry.siemens.com/cs/ww/en/view/109755826 Для SIMATIC IPC3000 SMART V2 и SIMATIC IPC347E до версии BIOS V1.5: https://support.industry.siemens.com/cs/ww/en/view/109759824 Для SIMATIC IPC427D, SIMATIC IPC477D, SIMOTION P320-4E и SIMOTION P320-4S до версии BIOS V17.0X.14: https://support.industry.siemens.com/cs/de/en/view/108608500 Для SIMATIC IPC427E, SIMATIC IPC477E и SIMATIC IPC477E Pro до версии BIOS V21.01.09: https://support.industry.siemens.com/cs/de/en/view/109742593 Для SIMATIC IPC547E до версии BIOS R1.30.0: https://support.industry.siemens.com/cs/us/en/view/109481624 Для SIMATIC IPC547G до версии BIOS R1.23.0: https://support.industry.siemens.com/cs/us/en/view/109750349 Для SIMATIC IPC627D, SIMATIC IPC677D и SIMATIC IPC827D до версии BIOS V19.02.11: https://support.industry.siemens.com/cs/ww/de/view/109474954 Для SIMATIC IPC627C, SIMATIC IPC677C и SIMATIC IPC827C до версии BIOS V15.02.15: https://support.industry.siemens.com/cs/ww/en/view/48792087 Для SIMATIC IPC647C и SIMATIC IPC847C до версии BIOS V15.01.14: https://support.industry.siemens.com/cs/ww/en/view/48792076 Для SIMATIC IPC647D и SIMATIC IPC847D до версии BIOS V19.01.14: https://support.industry.siemens.com/cs/ww/en/view/109037779 Для SIMATIC ITP1000 до версии BIOS V23.01.04: https://support.industry.siemens.com/cs/us/en/view/109748173 Для SIMATIC WinAC RTX (F) 2010 до SIMATIC WinAC RTX 2010 SP3: https://support.industry.siemens.com/cs/ww/en/view/109765109 Для SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP, SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK, SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK и SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP до версии BIOS V2.6: https://support.industry.siemens.com/cs/ww/en/view/109478459 Компенсирующие меры: Для RUGGEDCOM APE и RUGGEDCOM RX1400 VPE: Применение исправлений Debian по мере их появления Ограничение возможностей запуска ненадежного кода, если это возможно Применение концепции углубленной защиты https://www.siemens.com/industrialsecurity

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 4.3

Уточните SLA под вашу среду

Базовый балл 4.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации7.6%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2018-09-11

Опубликована

2019-03-22

Обновлена

2024-06-06

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0