ГлавнаяБаза уязвимостей БДУ → BDU:2018-00001
4.4средняя

BDU:2018-00001 (CVE-2017-5754)

Уязвимость процессоров Intel и АRM, вызванная ошибкой контроля доступа к памяти при спекулятивном выполнении инструкций процессора, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2018-01-09
Описание

Уязвимость процессоров Intel и ARM вызвана ошибкой контроля доступа к памяти при спекулятивном выполнении инструкций процессора. Эксплуатация уязвимости позволяет нарушителю получить доступ к защищенной памяти из программы, не обладающей соответствующими привилегиями путём анализа данных, записываемых в кэш процессора в результате спекулятивного выполнения команд

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Intel AtomIntel XeonIntel PentiumIntel CoreIntel CeleronARM Cortex-A75SIMATIC IPC547E (до R1.30.0)RUGGEDCOM APE (до 9.4)RUGGEDCOM RX1400 VPE (до 9.4)SIMATIC ET 200SP Open Controller (до 2.6)SIMATIC Field PG M4 (до 18.01.08)SIMATIC Field PG M5 (до 22.01.05)SIMATIC HMI Basic Panels 2nd Generation (от 14 до 14 SP1 Upd 6)SIMATIC HMI Basic Panels 2nd Generation (от 15 до 15 Upd 2)SIMATIC HMI Comfort 15-22 Panels (от 14 до 14 SP1 Upd 6)SIMATIC HMI Comfort 15-22 Panels (от 15 до 15 Upd 2)SIMATIC HMI Comfort 4-12" Panels (от 14 до 14 SP1 Upd 6)SIMATIC HMI Comfort 4-12" Panels (от 15 до 15 Upd 2)SIMATIC HMI Comfort PRO Panels (от 14 до 14 SP1 Upd 6)SIMATIC HMI Comfort PRO Panels (от 15 до 15 Upd 2)SIMATIC HMI KTP Mobile Panels (от 14 до 14 SP1 Upd 6)SIMATIC HMI KTP Mobile Panels (от 15 до 15 Upd 2)SIMATIC IPC227E (до 20.01.11)SIMATIC IPC277E (до 20.01.11)SIMATIC IPC3000 SMART V2 (до SMS-002 1.4)SIMATIC IPC327E (до 1.6.3C)SIMATIC IPC347E (до SMS-002 1.4)SIMATIC IPC377E (до 1.6.3C)SIMATIC IPC427C
Способ устранения

Возможны следующие меры по устранению уязвимости:
-вариант 1: на аппаратном уровне;
-вариант 2: на системном уровне;
Первый вариант предполагает замену процессора, однако данный вариант трудно реализуем на практике.
Наиболее актуален второй вариант, предполагающий установку обновления, выпущенного разработчиками системного программного обеспечения.
Рекомендации по устранению представлены на сайтах разработчиков программного обеспечения:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
http://nvidia.custhelp.com/app/answers/detail/a_id/4613
http://nvidia.custhelp.com/app/answers/detail/a_id/4614
http://xenbits.xen.org/xsa/advisory-254.html
https://01.org/security/advisories/intel-oss-10003
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
https://developer.arm.com/support/security-update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://security.netapp.com/advisory/ntap-20180104-0001/
https://support.citrix.com/article/CTX231399
https://support.f5.com/csp/article/K91229003
https://support.lenovo.com/us/en/solutions/LEN-18282
https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
https://www.synology.com/support/security/Synology_SA_18_01
https://source.android.com/security/bulletin/2018-01-01
https://support.apple.com/en-us/HT208394
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en

Для программных продуктов Yokogawa Electric Corporation:
https://web-material3.yokogawa.com/1/31095/files/YSAR-21-0002-E.pdf?_ga=2.137675248.1184356719.1618805721-85535984.1585215333

Для SIMATIC WinAC RTX (F) 2010 до SIMATIC WinAC RTX 2010 SP3:
https://support.industry.siemens.com/cs/ww/en/view/109765109

Для Astra Linux 1.5 «Смоленск»:
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Astra Linux 2.12 «Орел»:
Или обновление программного обеспечения (пакета xen) до 3.13 или более поздней версии

Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-15.002

Оценка CVSS
Балл4.4 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00006.htmlhttp://lists.opensuse.org/opensuse-security-announce/2018-01/msg00007.htmlhttp://lists.opensuse.org/opensuse-security-announce/2018-01/msg00008.htmlhttp://lists.opensuse.org/opensuse-security-announce/2018-01/msg00014.htmlhttp://lists.opensuse.org/opensuse-security-announce/2018-01/msg00016.htmlhttp://nvidia.custhelp.com/app/answers/detail/a_id/4609http://nvidia.custhelp.com/app/answers/detail/a_id/4611http://nvidia.custhelp.com/app/answers/detail/a_id/4613
Проверьте безопасность своего сайта и почты → Полная проверка домена