Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00130

Опубликовано: 28 окт. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость реализации технологии Intel Transactional Synchronization Extensions (TSX) микропрограммного обеспечения процессоров Intel связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию путём реализации атаки по побочным каналам

Вендор

Microsoft Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
Intel Corp.
Novell Inc.
Fedora Project
Canonical Ltd.
Oracle Corp.
АО «Концерн ВНИИНС»

Наименование ПО

Windows
Astra Linux Special Edition
Red Hat Enterprise Linux
Debian GNU/Linux
8th Generation Intel Core
9th Generation Intel Core
OpenSUSE Leap
Fedora
Ubuntu
Red Hat Enterprise Virtualization
2nd Generation Intel Xeon Scalable Processor
10th Generation Intel Core
Intel Xeon Gold Processors
Intel Xeon W Processor
Intel Xeon Processor E Family
Intel Celeron Processor 5000 Series
Sun ZFS Storage Appliance Kit
ОС ОН «Стрелец»
Linux

Версия ПО

Server 2008 R2 SP1 (Windows)
7 SP1 (Windows)
Server 2008 SP2 (Windows)
7 SP1 (Windows)
8.1 (Windows)
8.1 (Windows)
Server 2008 SP2 (Windows)
Server 2012 (Windows)
Server 2012 R2 (Windows)
10 (Windows)
10 (Windows)
1.5 «Смоленск» (Astra Linux Special Edition)
10 1607 (Windows)
10 1607 (Windows)
5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
Server 2016 (Windows)
Server 2008 SP2 Server Core installation (Windows)
Server 2008 SP2 Server Core installation (Windows)
Server 2012 R2 Server Core installation (Windows)
Server 2016 Server Core installation (Windows)
Server 2008 R2 SP1 (Windows)
9 (Debian GNU/Linux)
Server 2008 R2 SP1 Server Core installation (Windows)
Server 2012 Server Core installation (Windows)
Server 2008 SP2 (Windows)
10 1709 (Windows)
10 1709 (Windows)
10 1803 (Windows)
10 1803 (Windows)
Server 1803 (Windows)
10 1809 (Windows)
10 1809 (Windows)
Server 2019 (Windows)
Server 2019 Server Core installation (Windows)
10 1809 (Windows)
10 1803 (Windows)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
- (8th Generation Intel Core)
10 1903 (Windows)
10 1903 (Windows)
10 1903 (Windows)
Server 1903 (Windows)
- (9th Generation Intel Core)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
31 (Fedora)
4 (Red Hat Enterprise Virtualization)
- (2nd Generation Intel Xeon Scalable Processor)
- (10th Generation Intel Core)
- (Intel Xeon Gold Processors)
- (Intel Xeon W Processor)
- (Intel Xeon Processor E Family)
- (Intel Celeron Processor 5000 Series)
4.2 (Red Hat Enterprise Virtualization)
8.8 (Sun ZFS Storage Appliance Kit)
до 16.01.2023 (ОС ОН «Стрелец»)
от 4.10 до 4.14.153 включительно (Linux)
от 4.15 до 4.19.83 включительно (Linux)
от 4.20 до 5.3.10 включительно (Linux)
от 4.0 до 4.4.201 включительно (Linux)
от 4.5 до 4.9.201 включительно (Linux)

Тип ПО

Операционная система
ПО программно-аппаратных средств защиты
Микропрограммный код
ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

Microsoft Corp. Windows Server 2008 R2 SP1
Microsoft Corp. Windows 7 SP1
Microsoft Corp. Windows Server 2008 SP2
Microsoft Corp. Windows 7 SP1
Microsoft Corp. Windows 8.1
Microsoft Corp. Windows 8.1
Microsoft Corp. Windows Server 2008 SP2
Microsoft Corp. Windows Server 2012
Microsoft Corp. Windows Server 2012 R2
Microsoft Corp. Windows 10
Microsoft Corp. Windows 10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Microsoft Corp. Windows 10 1607
Microsoft Corp. Windows 10 1607
Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Microsoft Corp. Windows Server 2016
Microsoft Corp. Windows Server 2008 SP2 Server Core installation
Microsoft Corp. Windows Server 2008 SP2 Server Core installation
Microsoft Corp. Windows Server 2012 R2 Server Core installation
Microsoft Corp. Windows Server 2016 Server Core installation
Microsoft Corp. Windows Server 2008 R2 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Microsoft Corp. Windows Server 2008 R2 SP1 Server Core installation
Microsoft Corp. Windows Server 2012 Server Core installation
Microsoft Corp. Windows Server 2008 SP2
Microsoft Corp. Windows 10 1709
Microsoft Corp. Windows 10 1709
Microsoft Corp. Windows 10 1803
Microsoft Corp. Windows 10 1803
Microsoft Corp. Windows Server 1803
Microsoft Corp. Windows 10 1809
Microsoft Corp. Windows 10 1809
Microsoft Corp. Windows Server 2019
Microsoft Corp. Windows Server 2019 Server Core installation
Microsoft Corp. Windows 10 1809
Microsoft Corp. Windows 10 1803
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Microsoft Corp. Windows 10 1903
Microsoft Corp. Windows 10 1903
Microsoft Corp. Windows 10 1903
Microsoft Corp. Windows Server 1903
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Red Hat Inc. Red Hat Enterprise Virtualization 4
Red Hat Inc. Red Hat Enterprise Virtualization 4.2
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.154
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.84
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.202
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.202
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.11
Для продуктов Intel Corp.:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html
Для программных продуктов Red Hat Inc:
https://access.redhat.com/security/cve/cve-2019-11135
Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-11135
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00045.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00046.html
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00042.html
Для Ubuntu:
https://usn.ubuntu.com/4186-2/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I5WWPW4BSZDDW7VHU427XTVXV7ROOFFW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZYATWNUGHRBG6I3TC24YHP5Y3J7I6KH/
Для Astra Linux:
Обновление программного обеспечения (пакета linux-4.9) до 4.9.189-3+deb9u2~deb8u1 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения xen до версии 4.8.5.final+shim4.10.4-1+deb9u12
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00394
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-11135

CVSS3: 6.5
ubuntu
больше 5 лет назад

TSX Asynchronous Abort condition on some CPUs utilizing speculative execution may allow an authenticated user to potentially enable information disclosure via a side channel with local access.

redhat логотип

CVE-2019-11135

CVSS3: 6.5
redhat
больше 5 лет назад

TSX Asynchronous Abort condition on some CPUs utilizing speculative execution may allow an authenticated user to potentially enable information disclosure via a side channel with local access.

nvd логотип

CVE-2019-11135

CVSS3: 6.5
nvd
больше 5 лет назад

TSX Asynchronous Abort condition on some CPUs utilizing speculative execution may allow an authenticated user to potentially enable information disclosure via a side channel with local access.

msrc логотип

CVE-2019-11135

CVSS3: 4.7
msrc
больше 5 лет назад

Windows Kernel Information Disclosure Vulnerability

debian логотип

CVE-2019-11135

CVSS3: 6.5
debian
больше 5 лет назад

TSX Asynchronous Abort condition on some CPUs utilizing speculative ex ...

EPSS

Процентиль: 60%
0.00394
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2