Описание
Уязвимость микропрограммного обеспечения процессоров AMD на базе микроархитектуры Zen2 связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю отследить содержимого регистров во время выполнения других процессов на том же ядре CPU
Вендор
ООО «РусБИТех-Астра»
ООО «Ред Софт»
Advanced Micro Devices Inc.
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
РЕД ОС
AMD Ryzen 3000 Series Desktop
2ndGen AMD EPYC
AMD Ryzen 4000 Series Desktop processors with Radeon graphics
AMD Ryzen Threadripper 3000 Series Processors
AMD Ryzen Threadripper PRO 3000WX Series Processors
AMD Ryzen 5000 Series Mobile processor with Radeon graphics
AMD Ryzen 4000 Series Mobile processors with Radeon graphics
AMD Ryzen 7020 Series Processors
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до ComboAM4v2PI_1.2.0.C (AMD Ryzen 3000 Series Desktop)
до ComboAM4PI_1.0.0.C (AMD Ryzen 3000 Series Desktop)
до 0x0830107A (2ndGen AMD EPYC)
до RomePI 1.0.0.H (2ndGen AMD EPYC)
до ComboAM4v2PI_1.2.0.C (AMD Ryzen 4000 Series Desktop processors with Radeon graphics)
до CastlePeakPI-SP3r3 1.0.0.A (AMD Ryzen Threadripper 3000 Series Processors)
до CastlePeakWSPI-sWRX8 1.0.0.C (AMD Ryzen Threadripper PRO 3000WX Series Processors)
до ChagallWSPI-sWRX8 1.0.0.7 (AMD Ryzen Threadripper PRO 3000WX Series Processors)
до CezannePI-FP6_1.0.1.0 (AMD Ryzen 5000 Series Mobile processor with Radeon graphics)
до RenoirPI-FP6_1.0.0.D (AMD Ryzen 4000 Series Mobile processors with Radeon graphics)
до MendocinoPI-FT6_1.0.0.6 (AMD Ryzen 7020 Series Processors)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Микропрограммный код
Операционные системы и аппаратные платформы
Computer Science Research Group FreeBSD .
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Сообщество свободного программного обеспечения Linux от 4.0 до 4.19.288 включительно
Сообщество свободного программного обеспечения Linux от 4.20 до 5.4.249 включительно
Сообщество свободного программного обеспечения Linux от 5.5 до 5.10.186 включительно
Сообщество свободного программного обеспечения Linux от 5.11 до 5.15.121 включительно
Сообщество свободного программного обеспечения Linux от 5.16 до 6.1.40 включительно
Сообщество свободного программного обеспечения Linux от 6.2 до 6.4.5 включительно
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций производителя Advanced Micro Devices Inc.:
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html
Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- ограничение выполнения javascript с помощью Content Security Policy (CSP) или различных расширений;
- использование средств межсетевого экранирования;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение удаленного доступа к операционной системе недоверенных пользователей (SSH и проч.);
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.
Использование рекомендаций для операционной системы Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/firmware/linux-firmware.git/commit/?id=b250b32ab1d044953af2dc5e790819a7703b7ee6
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.289
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.250
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.187
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.122
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.41
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.4.6
Компенсирующие меры для операционной системы Linux::
- использование следующей команды:
wrmsr -a 0xc0011029 $(($(rdmsr -c 0xc0011029) | (1<<9)))
для того, чтобы установить управляющий бит DE_CFG[9].
Компенсирующие меры для операционной системы FreeBSD:
- использование утилиты .cpucontrol(8) для установки управляющего бита DE_CFG[9].
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-firmware до 20220329.git681281e4-0ubuntu1+ci202207182106+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет amd64-microcode до 3.20230719.1~deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.17.2-1
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221
Для Astra Linux Special Edition 4.7:
- обновить пакет linux-firmware до 20220329.git681281e4-0ubuntu1+ci202207182106+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux до 5.4.0-162.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux-firmware до 20220329.git681281e4-0ubuntu1+ci202207182256+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.10 до 5.10.190-1.astra1+ci17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
- AMD-SB
EPSS
Процентиль: 91%
0.06482
Низкий
5.5 Medium
CVSS3
4.6 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
почти 2 года назад
An issue in “Zen 2” CPUs, under specific microarchitectural circumstances, may allow an attacker to potentially access sensitive information.
CVSS3: 6.5
redhat
почти 2 года назад
An issue in “Zen 2” CPUs, under specific microarchitectural circumstances, may allow an attacker to potentially access sensitive information.
CVSS3: 5.5
nvd
почти 2 года назад
An issue in “Zen 2” CPUs, under specific microarchitectural circumstances, may allow an attacker to potentially access sensitive information.
CVSS3: 5.5
debian
почти 2 года назад
An issue in \u201cZen 2\u201d CPUs, under specific microarchitectural ...
EPSS
Процентиль: 91%
0.06482
Низкий
5.5 Medium
CVSS3
4.6 Medium
CVSS2