ГлавнаяБаза уязвимостей БДУ → BDU:2018-01636
4.9высокая

BDU:2018-01636 (CVE-2018-5407)

Уязвимость процессоров Intel архитектур Skylake и Kaby Lake, связанная с ошибками реализации технологии одновременной многопоточности (SMT), позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2018-12-28
Описание

Уязвимость процессоров Intel архитектур Skylake и Kaby Lake связана с с ошибками реализации технологии одновременной многопоточности (SMT). Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)API Gateway (11.1.2.4.0)Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)IBM Vios (2.2.1.0)IBM Vios (2.2.1.1)IBM Vios (2.2.1.3)IBM Vios (2.2.1 4)IBM Vios (2.2.1.8)IBM Vios (2.2.1.9)IBM Vios (2.2.2.0)IBM Vios (2.2.2.4)IBM Vios (2.2.2.5)IBM Vios (2.2.2.6)IBM Vios (2.2.3.0)IBM Vios (2.2.3.2)IBM Vios (2.2.3.3)IBM Vios (2.2.3.4)IBM Vios (2.2.3.50)IBM Vios (2.2.4.0)IBM Aix (5.3)IBM Aix (6.1)IBM Aix (7.1)IBM Aix (7.2)Ubuntu (18.04 LTS)
Способ устранения

Для openssl:
Обновление программного обеспечения до 1.1.1a-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u10 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета openssl) до 1.0.1t-1+deb8u10 или более поздней версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-5407

Для Node.js:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/

Для программных продуктов Canonical Ltd.:
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5407.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-5407

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет openssl1.0 до 1.0.2s-1~deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
- обновить пакет openssl до 1.1.0k-1~deb9u1~astra0u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл4.9 — высокая опасность
Источники и патчи
https://xakep.ru/2018/11/02/portsmash/https://access.redhat.com/security/cve/cve-2018-5407https://www.securityfocus.com/bid/105897https://usn.ubuntu.com/3840-1/https://nvd.nist.gov/vuln/detail/CVE-2018-5407https://security-tracker.debian.org/tracker/CVE-2018-5407https://access.redhat.com/security/cve/cve-2018-5407https://github.com/bbbrumley/portsmashhttps://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
Проверьте безопасность своего сайта и почты → Полная проверка домена