BDU:2018-01636

Опубликовано: 30 окт. 2018

Источник: fstec

CVSS3: 7.1

CVSS2: 4.9

EPSS Низкий

Описание

Уязвимость процессоров Intel архитектур Skylake и Kaby Lake связана с с ошибками реализации технологии одновременной многопоточности (SMT). Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

Canonical Ltd.

ООО «РусБИТех-Астра»

Oracle Corp.

Red Hat Inc.

Сообщество свободного программного обеспечения

Novell Inc.

IBM Corp.

Intel Corp.

Node.js Foundation

OpenSSL Software Foundation

Наименование ПО

Ubuntu

Astra Linux Special Edition

API Gateway

Red Hat Enterprise Linux

Debian GNU/Linux

OpenSUSE Leap

IBM Vios

IBM Aix

Enterprise Manager Ops Center

Intel Kaby Lake

rhvm-appliance

redhat-virtualization-host

Tuxedo

PeopleSoft Enterprise PeopleTools

Primavera P6 Enterprise Project Portfolio Management

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE OpenStack Cloud

SUSE Linux Enterprise Module for Open Buildservice Development Tools

Suse Linux Enterprise Server

Node.js

SUSE Linux Enterprise Module for Web Scripting

Secure Global Desktop

Enterprise Manager Base Platform

Application Server

MySQL Enterprise Backup

SUSE Studio Onsite

SUSE CaaS Platform

SUSE Linux Enterprise Point of Sale

SUSE Linux Enterprise Module for Legacy Software

SUSE OpenStack Cloud Crowbar

OpenStack Cloud Magnum Orchestration

Red Hat Enterprise Virtualization

SUSE Linux Enterprise High Performance Computing

OpenSSL

Версия ПО

14.04 LTS (Ubuntu)

1.5 «Смоленск» (Astra Linux Special Edition)

11.1.2.4.0 (API Gateway)

5 (Red Hat Enterprise Linux)

6 (Red Hat Enterprise Linux)

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

42.3 (OpenSUSE Leap)

2.2.1.0 (IBM Vios)

2.2.1.1 (IBM Vios)

2.2.1.3 (IBM Vios)

2.2.1 4 (IBM Vios)

2.2.1.8 (IBM Vios)

2.2.1.9 (IBM Vios)

2.2.2.0 (IBM Vios)

2.2.2.4 (IBM Vios)

2.2.2.5 (IBM Vios)

2.2.2.6 (IBM Vios)

2.2.3.0 (IBM Vios)

2.2.3.2 (IBM Vios)

2.2.3.3 (IBM Vios)

2.2.3.4 (IBM Vios)

2.2.3.50 (IBM Vios)

2.2.4.0 (IBM Vios)

5.3 (IBM Aix)

6.1 (IBM Aix)

7.1 (IBM Aix)

7.2 (IBM Aix)

18.04 LTS (Ubuntu)

12.3.3 (Enterprise Manager Ops Center)

18.10 (Ubuntu)

2.2.3 (IBM Vios)

2.2 (IBM Vios)

2.2.0.13 (IBM Vios)

2.2.0.11 (IBM Vios)

2.2.0.10 (IBM Vios)

- (Intel Kaby Lake)

- (rhvm-appliance)

- (redhat-virtualization-host)

12.1.1.0 (Tuxedo)

8.55 (PeopleSoft Enterprise PeopleTools)

8.56 (PeopleSoft Enterprise PeopleTools)

8.57 (PeopleSoft Enterprise PeopleTools)

1.6 «Смоленск» (Astra Linux Special Edition)

8.4 (Primavera P6 Enterprise Project Portfolio Management)

15.1 (Primavera P6 Enterprise Project Portfolio Management)

15.2 (Primavera P6 Enterprise Project Portfolio Management)

16.1 (Primavera P6 Enterprise Project Portfolio Management)

16.2 (Primavera P6 Enterprise Project Portfolio Management)

18.8 (Primavera P6 Enterprise Project Portfolio Management)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

7 (SUSE OpenStack Cloud)

15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

11 SP4 (Suse Linux Enterprise Server)

11 SP4 (SUSE Linux Enterprise Software Development Kit)

10 (Node.js)

12 (SUSE Linux Enterprise Module for Web Scripting)

5.4 (Secure Global Desktop)

12.1.0.5 (Enterprise Manager Base Platform)

6 (Node.js)

8 (Node.js)

от 17.7 до 17.12 включительно (Primavera P6 Enterprise Project Portfolio Management)

0.9.8 (Application Server)

1.0.0 (Application Server)

1.0.1 (Application Server)

до 3.12.3 включительно (MySQL Enterprise Backup)

до 4.1.2 включительно (MySQL Enterprise Backup)

8 (Red Hat Enterprise Linux)

15.0 (OpenSUSE Leap)

1.3 (SUSE Studio Onsite)

3.0 (SUSE CaaS Platform)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Module for Legacy Software)

15 (SUSE Linux Enterprise Module for Legacy Software)

11 SP3 (SUSE Linux Enterprise Point of Sale)

12-LTSS (Suse Linux Enterprise Server)

11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

11 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

8 (SUSE OpenStack Cloud Crowbar)

8 (Debian GNU/Linux)

11 SP3-LTSS (Suse Linux Enterprise Server)

7 (OpenStack Cloud Magnum Orchestration)

12 (SUSE Linux Enterprise Module for Legacy Software)

11-SECURITY (Suse Linux Enterprise Server)

11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)

4 (Red Hat Enterprise Virtualization)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

13.2.0.0 (Enterprise Manager Base Platform)

13.3.0.0 (Enterprise Manager Base Platform)

от 1.0.2 до 1.0.2q (OpenSSL)

от 1.1.0 до 1.1.0i (OpenSSL)

Тип ПО

Операционная система

ПО программно-аппаратных средств защиты

Сетевое программное средство

ПО программно-аппаратного средства

Прикладное ПО информационных систем

Программное средство защиты

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Novell Inc. OpenSUSE Leap 42.3

Canonical Ltd. Ubuntu 18.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. OpenSUSE Leap 15.0

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Для openssl:

Обновление программного обеспечения до 1.1.1a-1 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u10 или более поздней версии

Для Astra Linux:

Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u10 или более поздней версии

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-5407

Для Node.js:

https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

Для программных продуктов Canonical Ltd.:

https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5407.html

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-5407

Для ОС Astra Linux 1.6 «Смоленск»:

- обновить пакет openssl1.0 до 1.0.2s-1~deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

- обновить пакет openssl до 1.1.0k-1~deb9u1~astra0u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5407
CVE

EPSS

Процентиль: 73%

0.00778

Низкий

7.1 High

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2018-5407

CVSS3: 4.7

ubuntu

больше 6 лет назад

Simultaneous Multi-threading (SMT) in processors can enable local users to exploit software vulnerable to timing attacks via a side-channel timing attack on 'port contention'.

CVE-2018-5407

CVSS3: 4.8

redhat

больше 6 лет назад

Simultaneous Multi-threading (SMT) in processors can enable local users to exploit software vulnerable to timing attacks via a side-channel timing attack on 'port contention'.

CVE-2018-5407

CVSS3: 4.7

nvd

больше 6 лет назад

Simultaneous Multi-threading (SMT) in processors can enable local users to exploit software vulnerable to timing attacks via a side-channel timing attack on 'port contention'.

CVE-2018-5407

CVSS3: 4.7

debian

больше 6 лет назад

Simultaneous Multi-threading (SMT) in processors can enable local user ...

GHSA-3rjg-j575-7f6p

CVSS3: 4.7

github

около 3 лет назад

Simultaneous Multi-threading (SMT) in processors can enable local users to exploit software vulnerable to timing attacks via a side-channel timing attack on 'port contention'.

EPSS

Процентиль: 73%

0.00778

Низкий

7.1 High

CVSS3

4.9 Medium

CVSS2