Описание
Уязвимость процессоров Intel, ARM и AMD связана с особенностями функционирования модуля прогнозирования ветвлений. Эксплуатация уязвимости позволяет нарушителю получить доступ к защищенной памяти из программы, не обладающей соответствующими привилегиями, путём создания условий неправильного предсказания ветвей выполнения
Вендор
VMware Inc.
Canonical Ltd.
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
АО «ИВК»
Сообщество свободного программного обеспечения
Intel Corp.
ARM Limited
Advanced Micro Devices Inc.
Siemens AG
Yokogawa Electric Corporation
АО «НТЦ ИТ РОСА»
Наименование ПО
VMware ESXi
Ubuntu
Solaris
Astra Linux Special Edition
OpenSUSE Leap
Альт Линукс СПТ
Debian GNU/Linux
Intel Atom
Intel Xeon
Intel Pentium
Intel Core
Intel Celeron
ARM Cortex-A75
ARM Cortex-R7
ARM Cortex-R8
ARM Cortex-A9
ARM Cortex-A17
ARM Cortex-A57
ARM Cortex-A72
ARM Cortex-A73
AMD
SIMATIC ITC1500
SIMATIC ITC1500 PRO
SIMATIC ITC1900
SIMATIC ITC1900 PRO
SIMATIC ITC2200
SIMATIC ITC2200 PRO
SIMATIC IPC547E
SIMATIC IPC827D
RUGGEDCOM APE
RUGGEDCOM RX1400 VPE
SIMATIC ET 200SP Open Controller
SIMATIC Field PG M4
SIMATIC Field PG M5
SIMATIC HMI Basic Panels 2nd Generation
SIMATIC HMI Comfort 15-22 Panels
SIMATIC HMI Comfort 4-12" Panels
SIMATIC HMI Comfort PRO Panels
SIMATIC HMI KTP Mobile Panels
SIMATIC IPC227E
SIMATIC IPC277E
SIMATIC IPC3000 SMART V2
SIMATIC IPC327E
SIMATIC IPC347E
SIMATIC IPC377E
SIMATIC IPC427C
SIMATIC IPC427D
SIMATIC IPC427E
SIMATIC IPC477C
SIMATIC IPC477D
SIMATIC IPC477E
SIMATIC IPC477E Pro
SIMATIC IPC547G
SIMATIC IPC627C
SIMATIC IPC627D
SIMATIC IPC647C
SIMATIC IPC647D
SIMATIC IPC677C
SIMATIC IPC677D
SIMATIC IPC827C
SIMATIC IPC847C
SIMATIC IPC847D
SIMATIC ITP1000
SIMATIC S7-1500 Software Controller
SIMATIC S7-1518-4 PN/DP ODK
SIMATIC S7-1518F-4 PN/DP ODK
SIMOTION P320-4E
SIMOTION P320-4S
SINEMA Remote Connect
SINUMERIK 840D sl
SINUMERIK Panels интегрированные с TCU
SINUMERIK TCU
Альт 8 СП Рабочая станция
SIMATIC WinAC RTX 2010 incl. F
Oracle Communications LSMS
VMWare Workstation
VMware Fusion
CENTUM VP
Intel Management Engine
РОСА Кобальт
RELS
Linux
Версия ПО
5.5 (VMware ESXi)
14.04 LTS (Ubuntu)
10 (Solaris)
11.3 (Solaris)
16.04 LTS (Ubuntu)
1.5 «Смоленск» (Astra Linux Special Edition)
42.2 (OpenSUSE Leap)
17.04 (Ubuntu)
6.0 (VMware ESXi)
6.5 (VMware ESXi)
7.0 (Альт Линукс СПТ)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
- (Intel Atom)
- (Intel Xeon)
- (Intel Pentium)
- (Intel Core)
- (Intel Celeron)
- (ARM Cortex-A75)
- (ARM Cortex-R7)
- (ARM Cortex-R8)
- (ARM Cortex-A9)
- (ARM Cortex-A17)
- (ARM Cortex-A57)
- (ARM Cortex-A72)
- (ARM Cortex-A73)
- (AMD)
17.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
до 3.1 (SIMATIC ITC1500)
до 3.1 (SIMATIC ITC1500 PRO)
до 3.1 (SIMATIC ITC1900)
до 3.1 (SIMATIC ITC1900 PRO)
до 3.1 (SIMATIC ITC2200)
до 3.1 (SIMATIC ITC2200 PRO)
до R1.30.0 (SIMATIC IPC547E)
до 19.02.11 (SIMATIC IPC827D)
до 9.4 (RUGGEDCOM APE)
до 9.4 (RUGGEDCOM RX1400 VPE)
до 2.6 (SIMATIC ET 200SP Open Controller)
до 18.01.08 (SIMATIC Field PG M4)
до 22.01.05 (SIMATIC Field PG M5)
от 14 до 14 SP1 Upd 6 (SIMATIC HMI Basic Panels 2nd Generation)
от 15 до 15 Upd 2 (SIMATIC HMI Basic Panels 2nd Generation)
от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort 15-22 Panels)
от 15 до 15 Upd 2 (SIMATIC HMI Comfort 15-22 Panels)
от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort 4-12" Panels)
от 15 до 15 Upd 2 (SIMATIC HMI Comfort 4-12" Panels)
от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort PRO Panels)
от 15 до 15 Upd 2 (SIMATIC HMI Comfort PRO Panels)
от 14 до 14 SP1 Upd 6 (SIMATIC HMI KTP Mobile Panels)
от 15 до 15 Upd 2 (SIMATIC HMI KTP Mobile Panels)
до 20.01.11 (SIMATIC IPC227E)
до 20.01.11 (SIMATIC IPC277E)
до SMS-002 1.4 (SIMATIC IPC3000 SMART V2)
до 1.6.3C (SIMATIC IPC327E)
до SMS-002 1.4 (SIMATIC IPC347E)
до 1.6.3C (SIMATIC IPC377E)
- (SIMATIC IPC427C)
до 17.0x.12 (SIMATIC IPC427D)
до 21.01.08 (SIMATIC IPC427E)
- (SIMATIC IPC477C)
до 17.0x.12 (SIMATIC IPC477D)
до 21.01.08 (SIMATIC IPC477E)
до 21.01.08 (SIMATIC IPC477E Pro)
до R1.21.0 (SIMATIC IPC547G)
до 15.02.14 (SIMATIC IPC627C)
до 19.02.10 (SIMATIC IPC627D)
до 15.01.13 (SIMATIC IPC647C)
до 19.01.11 (SIMATIC IPC647D)
до 15.02.14 (SIMATIC IPC677C)
до 19.02.10 (SIMATIC IPC677D)
до 15.02.14 (SIMATIC IPC827C)
до 15.01.13 (SIMATIC IPC847C)
до 19.01.11 (SIMATIC IPC847D)
до 23.01.03 (SIMATIC ITP1000)
до 2.5 (SIMATIC S7-1500 Software Controller)
до 2.5.2 (SIMATIC S7-1518-4 PN/DP ODK)
до 2.5.2 (SIMATIC S7-1518F-4 PN/DP ODK)
до 17.0x.13 (SIMOTION P320-4E)
до 17.0x.13 (SIMOTION P320-4S)
- (SINEMA Remote Connect)
от 50.5 (SINUMERIK 840D sl)
до 2016 года (SINUMERIK Panels интегрированные с TCU)
от 30.3 (SINUMERIK TCU)
8.0 (Debian GNU/Linux)
12.04 ESM (Ubuntu)
- (Альт 8 СП Рабочая станция)
15.0 (OpenSUSE Leap)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до SP3 (SIMATIC WinAC RTX 2010 incl. F)
13.1 (Oracle Communications LSMS)
13.2 (Oracle Communications LSMS)
13.3 (Oracle Communications LSMS)
от 12.0.0 до 12.5.8 (VMWare Workstation)
от 8.0.0 до 8.5.9 (VMware Fusion)
до R6.08.00 (CENTUM VP)
3.20191115.2 (Intel Management Engine)
- (РОСА Кобальт)
6.x (RELS)
от 4.0 до 4.4.126 включительно (Linux)
от 4.5 до 4.9.87 включительно (Linux)
от 4.10 до 4.14.26 включительно (Linux)
от 4.15.0 до 4.15.9 включительно (Linux)
Тип ПО
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционная система
ПО программно-аппаратного средства
ПО программно-аппаратного средства АСУ ТП
Микропрограммный код
ПО сетевого программно-аппаратного средства
Программное средство АСУ ТП
Средство АСУ ТП
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04 LTS
Oracle Corp. Solaris 10
Oracle Corp. Solaris 11.3
Canonical Ltd. Ubuntu 16.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Novell Inc. OpenSUSE Leap 42.2
Canonical Ltd. Ubuntu 17.04
Canonical Ltd. Ubuntu 16.04 LTS
АО «ИВК» Альт Линукс СПТ 7.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.2
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 17.10
Oracle Corp. Solaris 10
Oracle Corp. Solaris 11.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 12.04 ESM
АО «ИВК» Альт 8 СП Рабочая станция -
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «НТЦ ИТ РОСА» РОСА Кобальт -
АО «НТЦ ИТ РОСА» RELS 6.x
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)
Возможные меры по устранению уязвимости
Возможны следующие меры по устранению уязвимости:
-вариант 1: на аппаратном уровне;
-вариант 2: на системном уровне;
-вариант 3: на прикладном уровне.
Первый вариант предполагает замену процессора, однако данный вариант трудно реализуем на практике.
Наиболее актуален второй вариант, предполагающий установку обновления, выпущенного разработчиками системного программного обеспечения.
Третий вариант применим к браузерам и возможен лишь для противодействия векторам атак, связанных с использованием JavaScript.
Подробные рекомендации по устранению представлены на сайтах разработчиков программного обеспечения:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
http://nvidia.custhelp.com/app/answers/detail/a_id/4613
http://nvidia.custhelp.com/app/answers/detail/a_id/4614
http://xenbits.xen.org/xsa/advisory-254.html
https://01.org/security/advisories/intel-oss-10002
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
https://developer.arm.com/support/security-update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://security.netapp.com/advisory/ntap-20180104-0001/
https://support.citrix.com/article/CTX231399
https://support.f5.com/csp/article/K91229003
https://support.lenovo.com/us/en/solutions/LEN-18282
https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
https://www.synology.com/support/security/Synology_SA_18_01
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
https://support.apple.com/en-us/HT208394
https://support.apple.com/en-us/HT208397
https://support.apple.com/en-us/HT208401
https://support.apple.com/en-us/HT208403
https://source.android.com/security/bulletin/2018-01-01
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
Обновление программного обеспечения Siemens AG до V3.1:
https://support.industry.siemens.com/cs/ww/en/view/109761864
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvirt до версии 3.0.0-4+deb9u5
Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.27
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.15.10
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.127
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.88
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94332
Критический
5.6 Medium
CVSS3
4.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.6
ubuntu
больше 7 лет назад
Systems with microprocessors utilizing speculative execution and branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis.
CVSS3: 5.5
redhat
больше 7 лет назад
Systems with microprocessors utilizing speculative execution and branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis.
CVSS3: 5.6
nvd
больше 7 лет назад
Systems with microprocessors utilizing speculative execution and branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis.
CVSS3: 5.6
debian
больше 7 лет назад
Systems with microprocessors utilizing speculative execution and branc ...
EPSS
Процентиль: 100%
0.94332
Критический
5.6 Medium
CVSS3
4.4 Medium
CVSS2