Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05273

Опубликовано: 27 июн. 2022
Источник: fstec
CVSS3: 4.7
CVSS2: 3.8
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения процессоров Intel связана с недостаточной защитой служебных данных посредством использования альтернативного канала. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации.

Вендор

Red Hat Inc.
VMware Inc.
Intel Corp.
Сообщество свободного программного обеспечения

Наименование ПО

Red Hat Enterprise Linux
VMware Cloud Foundation
Intel Processor (R)
VMware ESXi
Linux

Версия ПО

7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
4.0 (VMware Cloud Foundation)
9 (Red Hat Enterprise Linux)
- (Intel Processor (R))
от 7.0 до ESXi70U3sf-20036586 (VMware ESXi)
от 6.7 до ESXi670-202207401-SG (VMware ESXi)
от 6.5 до ESXi650-202207401-SG (VMware ESXi)
3.0 (VMware Cloud Foundation)
от 5.11 до 5.15.56 включительно (Linux)
от 5.16 до 5.18.13 включительно (Linux)
от 4.0 до 4.14.296 включительно (Linux)
от 4.15 до 4.19.265 включительно (Linux)
от 4.20 до 5.4.216 включительно (Linux)
от 5.5 до 5.10.132 включительно (Linux)

Тип ПО

Операционная система
Сетевое программное средство
Микропрограммный код
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Нет опасности уровень опасности (оценка CVSS 4.0 составляет 0)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Intel:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00707.html
https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/advisory-guidance/return-stack-buffer-underflow.html
Для программных продуктов VMware:
https://www.vmware.com/security/advisories/VMSA-2022-0020.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28693
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.297
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.266
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.133
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.57
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.14
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.217

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 14%
0.00045
Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-28693

CVSS3: 4.7
ubuntu
12 месяцев назад

Unprotected alternative channel of return branch target prediction in some Intel(R) Processors may allow an authorized user to potentially enable information disclosure via local access.

redhat логотип

CVE-2022-28693

CVSS3: 4.7
redhat
больше 3 лет назад

Unprotected alternative channel of return branch target prediction in some Intel(R) Processors may allow an authorized user to potentially enable information disclosure via local access.

nvd логотип

CVE-2022-28693

CVSS3: 4.7
nvd
12 месяцев назад

Unprotected alternative channel of return branch target prediction in some Intel(R) Processors may allow an authorized user to potentially enable information disclosure via local access.

suse-cvrf логотип

SUSE-SU-2022:4566-1

suse-cvrf
около 3 лет назад

Security update for the Linux Kernel

suse-cvrf логотип

SUSE-SU-2022:4505-1

suse-cvrf
около 3 лет назад

Security update for the Linux Kernel

EPSS

Процентиль: 14%
0.00045
Низкий

4.7 Medium

CVSS3

3.8 Low

CVSS2