Описание
Уязвимость технологии SMT процессоров AMD связана с ошибками, возникающими после выхода потока ядра процессора из состояния сна C0. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию (получить доступ к кэшу RAP (return address predictor))
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Advanced Micro Devices Inc.
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
openSUSE Tumbleweed
1st Gen AMD EPYC
2ndGen AMD EPYC
AMD Ryzen 2000 series Desktop
AMD Ryzen 3000 Series Desktop
AMD Ryzen 4000 Series Desktop processors with Radeon graphics
2nd Gen AMD Ryzen Threadripper
3rd Gen AMD Ryzen Threadripper
AMD Ryzen Threadripper PRO processors
AMD Athlon 3000 Series Mobile processors with Radeon graphics
AMD Ryzen 2000 Series Mobile processor
2nd Gen AMD Ryzen Mobile processor with Radeon graphics
AMD Ryzen 4000 Series Mobile processors with Radeon graphics
AMD Ryzen 5000 Series Mobile processor with Radeon graphics
AMD Athlon Mobile processor with Radeon graphics
AMD Athlon X4 processor
7th Generation AMD A-Series APUs
AMD Ryzen 3000 Series Mobile processor
Linux
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
- (1st Gen AMD EPYC)
- (2ndGen AMD EPYC)
- (AMD Ryzen 2000 series Desktop)
- (AMD Ryzen 3000 Series Desktop)
- (AMD Ryzen 4000 Series Desktop processors with Radeon graphics)
- (2nd Gen AMD Ryzen Threadripper)
- (3rd Gen AMD Ryzen Threadripper)
- (AMD Ryzen Threadripper PRO processors)
- (AMD Athlon 3000 Series Mobile processors with Radeon graphics)
- (AMD Ryzen 2000 Series Mobile processor)
- (2nd Gen AMD Ryzen Mobile processor with Radeon graphics)
- (AMD Ryzen 4000 Series Mobile processors with Radeon graphics)
- (AMD Ryzen 5000 Series Mobile processor with Radeon graphics)
- (AMD Athlon Mobile processor with Radeon graphics)
- (AMD Athlon X4 processor)
- (7th Generation AMD A-Series APUs)
- (AMD Ryzen 3000 Series Mobile processor)
от 4.0 до 5.15.93 включительно (Linux)
от 5.16 до 6.1.11 включительно (Linux)
до 2.8 (ОСОН ОСнова Оnyx)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Микропрограммный код аппаратных компонент компьютера
Микропрограммный код
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Сообщество свободного программного обеспечения Linux от 4.0 до 5.15.93 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.11 включительно
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)
Возможные меры по устранению уязвимости
Обновление программного обеспечения:
исправление be8de49bea505e7777a69ef63d60e02ac1712683 определяет новый флаг (X86_BUG_SMT_RSB), по которому можно будет определить подверженность процессора данной уязвимости.
исправление 6f0f2d5ef895d66a3f2b32dd05189ec34afa5a55 добавляет проверку и обработку флага X86_BUG_SMT_RSB в KVM для предотвращения утечки данные
исправление 493a2c2d23ca91afba96ac32b6cbafb54382c2a3 описание уязвимости
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-27672
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-27672.html
Для продуктов Advanced Micro Devices Inc.:
https://www.amd.com/en/corporate/product-security/bulletin/AMD-SB-1045
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.17.1+2-gb773c48e36-1
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
- AMD-SB
EPSS
Процентиль: 31%
0.00115
Низкий
5.6 Medium
CVSS3
3.8 Low
CVSS2
Связанные уязвимости
CVSS3: 4.7
ubuntu
больше 2 лет назад
When SMT is enabled, certain AMD processors may speculatively execute instructions using a target from the sibling thread after an SMT mode switch potentially resulting in information disclosure.
CVSS3: 4.7
redhat
больше 2 лет назад
When SMT is enabled, certain AMD processors may speculatively execute instructions using a target from the sibling thread after an SMT mode switch potentially resulting in information disclosure.
CVSS3: 4.7
nvd
больше 2 лет назад
When SMT is enabled, certain AMD processors may speculatively execute instructions using a target from the sibling thread after an SMT mode switch potentially resulting in information disclosure.
CVSS3: 4.7
debian
больше 2 лет назад
When SMT is enabled, certain AMD processors may speculatively execute ...
EPSS
Процентиль: 31%
0.00115
Низкий
5.6 Medium
CVSS3
3.8 Low
CVSS2