BDU:2019-01065: Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного считывания системных регистров, позволяющая нарушителю раскрыть защищаемую информацию
Детали уязвимости BDU:2019-01065
Описание
Уязвимость процессоров Intel и ARM связана с использованием спекулятивного считывания системных регистров. Эксплуатация уязвимости может позволить нарушителю раскрыть системные параметры с помощью специально сформированного приложения
Что делать с BDU:2019-01065
Низкая уязвимость (CVSS 4.3) — устраните при плановом обновлении. Если уязвимый компонент не используется в критичных системах, риск минимален.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:NAV:L/AC:L/Au:N/C:P/I:N/A:NCWE — тип уязвимости
CVE — международный идентификатор
Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.
Как атакуют и что делать ▾
Сценарий атаки
Сервер возвращает стек вызовов, пути к файлам, версии ПО, SQL-запросы в сообщениях об ошибках.
Последствия
Утечка внутренней архитектуры, помогает атакующему планировать дальнейшие шаги.
Рекомендации
Отключите подробные ошибки в production, используйте generic error pages, логируйте на сервере.
Тактики и техники
Уязвимое ПО (106)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| ARM Limited | ARM Cortex-A57 | - | Не указана |
| ARM Limited | ARM Cortex-A72 | - | Не указана |
| Intel Corp. | Intel Xeon | 3400 series | Не указана |
| Intel Corp. | Intel Xeon | 3500 series | Не указана |
| Intel Corp. | Intel Xeon | 3600 series | Не указана |
| Intel Corp. | Intel Xeon | 5500 series | Не указана |
| Intel Corp. | Intel Xeon | 5600 series | Не указана |
| Intel Corp. | Intel Xeon | 6500 series | Не указана |
| Intel Corp. | Intel Xeon | 7500 series | Не указана |
| Intel Corp. | Intel Xeon | E3 Family | Не указана |
| Intel Corp. | Intel Xeon | E3 v2 Family | Не указана |
| Intel Corp. | Intel Xeon | E3 v3 Family | Не указана |
| Intel Corp. | Intel Xeon | E3 v4 Family | Не указана |
| Intel Corp. | Intel Xeon | E3 v5 Family | Не указана |
| Intel Corp. | Intel Xeon | E3 v6 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 v2 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 v3 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 v4 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 v5 Family | Не указана |
| Intel Corp. | Intel Xeon | E5 v6 Family | Не указана |
| Intel Corp. | Intel Xeon | E7 Family | Не указана |
| Intel Corp. | Intel Xeon | E7 v2 Family | Не указана |
| Intel Corp. | Intel Xeon | E7 v3 Family | Не указана |
| Intel Corp. | Intel Xeon | E7 v4 Family | Не указана |
| Intel Corp. | Intel Xeon | Scalable Family | Не указана |
| Intel Corp. | Intel Pentium | J4205 | Не указана |
| Intel Corp. | Intel Pentium | J5005 | Не указана |
| Intel Corp. | Intel Pentium | N4000 | Не указана |
| Intel Corp. | Intel Pentium | N4100 | Не указана |
| Intel Corp. | Intel Pentium | N4200 | Не указана |
| Intel Corp. | Intel Pentium | N5000 | Не указана |
| Intel Corp. | Intel Atom | C3308 | Не указана |
| Intel Corp. | Intel Atom | C3338 | Не указана |
| Intel Corp. | Intel Atom | C3508 | Не указана |
| Intel Corp. | Intel Atom | C3538 | Не указана |
| Intel Corp. | Intel Atom | C3558 | Не указана |
| Intel Corp. | Intel Atom | C3708 | Не указана |
| Intel Corp. | Intel Atom | C3750 | Не указана |
| Intel Corp. | Intel Atom | C3758 | Не указана |
| Intel Corp. | Intel Atom | C3808 | Не указана |
| Intel Corp. | Intel Atom | C3830 | Не указана |
| Intel Corp. | Intel Atom | C3850 | Не указана |
| Intel Corp. | Intel Atom | C3858 | Не указана |
| Intel Corp. | Intel Atom | C3950 | Не указана |
| Intel Corp. | Intel Atom | C3955 | Не указана |
| Intel Corp. | Intel Atom | C3958 | Не указана |
| Intel Corp. | Intel Atom | E Series | Не указана |
| Intel Corp. | Intel Atom | A Series | Не указана |
| Intel Corp. | Intel Atom | x5-E3930 | Не указана |
Показано 50 из 106
Рекомендации по устранению
Обновление программного обеспечения: Для SIMATIC Field PG M4 до версии BIOS V18.01.09: https://support.industry.siemens.com/cs/de/en/view/109037537 Для SIMATIC Field PG M5 до версии BIOS V22.01.06: https://support.industry.siemens.com/cs/de/en/view/109738122 Для SIMATIC ET 200 SP Open Controller и SIMATIC ET 200 SP Open Controller (F) до V2.6^ https://support.industry.siemens.com/cs/ww/en/view/109759122 Для SIMATIC HMI Basic Panels 2nd Generation до V15.1: https://support.industry.siemens.com/cs/ww/en/view/109761203 Для SIMATIC HMI Comfort 15-22 Panels, SIMATIC HMI Comfort 4-12" Panels, SIMATIC HMI Comfort PRO Panels и SIMATIC HMI KTP Mobile Panels до V15 Upd 2: https://support.industry.siemens.com/cs/ww/en/view/109755826 Для SIMATIC IPC3000 SMART V2 и SIMATIC IPC347E до версии BIOS V1.5: https://support.industry.siemens.com/cs/ww/en/view/109759824 Для SIMATIC IPC427D, SIMATIC IPC477D, SIMOTION P320-4E и SIMOTION P320-4S до версии BIOS V17.0X.14: https://support.industry.siemens.com/cs/de/en/view/108608500 Для SIMATIC IPC427E, SIMATIC IPC477E и SIMATIC IPC477E Pro до версии BIOS V21.01.09: https://support.industry.siemens.com/cs/de/en/view/109742593 Для SIMATIC IPC547E до версии BIOS R1.30.0: https://support.industry.siemens.com/cs/us/en/view/109481624 Для SIMATIC IPC547G до версии BIOS R1.23.0: https://support.industry.siemens.com/cs/us/en/view/109750349 Для SIMATIC IPC627D, SIMATIC IPC677D и SIMATIC IPC827D до версии BIOS V19.02.11: https://support.industry.siemens.com/cs/ww/de/view/109474954 Для SIMATIC IPC627C, SIMATIC IPC677C и SIMATIC IPC827C до версии BIOS V15.02.15: https://support.industry.siemens.com/cs/ww/en/view/48792087 Для SIMATIC IPC647C и SIMATIC IPC847C до версии BIOS V15.01.14: https://support.industry.siemens.com/cs/ww/en/view/48792076 Для SIMATIC IPC647D и SIMATIC IPC847D до версии BIOS V19.01.14: https://support.industry.siemens.com/cs/ww/en/view/109037779 Для SIMATIC ITP1000 до версии BIOS V23.01.04: https://support.industry.siemens.com/cs/us/en/view/109748173 Для SIMATIC WinAC RTX (F) 2010 до SIMATIC WinAC RTX 2010 SP3: https://support.industry.siemens.com/cs/ww/en/view/109765109 Для SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP, SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK, SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK и SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP до версии BIOS V2.6: https://support.industry.siemens.com/cs/ww/en/view/109478459 Компенсирующие меры: Для RUGGEDCOM APE и RUGGEDCOM RX1400 VPE: Применение исправлений Debian по мере их появления Ограничение возможностей запуска ненадежного кода, если это возможно Применение концепции углубленной защиты https://www.siemens.com/industrialsecurity
SLA ФСТЭК №117
30 дней
по базовой оценке CVSS 4.3
Уточните SLA под вашу среду
Базовый балл 4.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2018-09-11
Опубликована
2019-03-22
Обновлена
2024-06-06
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2019-00710Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, по
BDU:2019-00768Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного выполнения и чтения из памяти до возврата
BDU:2018-00002Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, по
BDU:2018-00003Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, по
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.