ГлавнаяБаза уязвимостей БДУ → BDU:2019-01065
2.1средняя

BDU:2019-01065 (CVE-2018-3640)

Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного считывания системных регистров, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2019-03-22
Описание

Уязвимость процессоров Intel и ARM связана с использованием спекулятивного считывания системных регистров. Эксплуатация уязвимости может позволить нарушителю раскрыть системные параметры с помощью специально сформированного приложения

Затрагиваемое ПО и версии
ARM Cortex-A57ARM Cortex-A72Intel Xeon (3400 series)Intel Xeon (3500 series)Intel Xeon (3600 series)Intel Xeon (5500 series)Intel Xeon (5600 series)Intel Xeon (6500 series)Intel Xeon (7500 series)Intel Xeon (E3 Family)Intel Xeon (E3 v2 Family)Intel Xeon (E3 v3 Family)Intel Xeon (E3 v4 Family)Intel Xeon (E3 v5 Family)Intel Xeon (E3 v6 Family)Intel Xeon (E5 Family)Intel Xeon (E5 v2 Family)Intel Xeon (E5 v3 Family)Intel Xeon (E5 v4 Family)Intel Xeon (E5 v5 Family)Intel Xeon (E5 v6 Family)Intel Xeon (E7 Family)Intel Xeon (E7 v2 Family)Intel Xeon (E7 v3 Family)Intel Xeon (E7 v4 Family)Intel Xeon (Scalable Family)Intel Pentium (J4205)Intel Pentium (J5005)Intel Pentium (N4000)Intel Pentium (N4100)
Способ устранения

Обновление программного обеспечения:

Для SIMATIC Field PG M4 до версии BIOS V18.01.09:
https://support.industry.siemens.com/cs/de/en/view/109037537

Для SIMATIC Field PG M5 до версии BIOS V22.01.06:
https://support.industry.siemens.com/cs/de/en/view/109738122

Для SIMATIC ET 200 SP Open Controller и SIMATIC ET 200 SP Open Controller (F) до V2.6^
https://support.industry.siemens.com/cs/ww/en/view/109759122

Для SIMATIC HMI Basic Panels 2nd Generation до V15.1:
https://support.industry.siemens.com/cs/ww/en/view/109761203

Для SIMATIC HMI Comfort 15-22 Panels, SIMATIC HMI Comfort 4-12" Panels, SIMATIC HMI Comfort PRO Panels и SIMATIC HMI KTP Mobile Panels до V15 Upd 2:
https://support.industry.siemens.com/cs/ww/en/view/109755826

Для SIMATIC IPC3000 SMART V2 и SIMATIC IPC347E до версии BIOS V1.5:
https://support.industry.siemens.com/cs/ww/en/view/109759824

Для SIMATIC IPC427D, SIMATIC IPC477D, SIMOTION P320-4E и SIMOTION P320-4S до версии BIOS V17.0X.14:
https://support.industry.siemens.com/cs/de/en/view/108608500

Для SIMATIC IPC427E, SIMATIC IPC477E и SIMATIC IPC477E Pro до версии BIOS V21.01.09:
https://support.industry.siemens.com/cs/de/en/view/109742593

Для SIMATIC IPC547E до версии BIOS R1.30.0:
https://support.industry.siemens.com/cs/us/en/view/109481624

Для SIMATIC IPC547G до версии BIOS R1.23.0:
https://support.industry.siemens.com/cs/us/en/view/109750349

Для SIMATIC IPC627D, SIMATIC IPC677D и SIMATIC IPC827D до версии BIOS V19.02.11: https://support.industry.siemens.com/cs/ww/de/view/109474954

Для SIMATIC IPC627C, SIMATIC IPC677C и SIMATIC IPC827C до версии BIOS V15.02.15:
https://support.industry.siemens.com/cs/ww/en/view/48792087

Для SIMATIC IPC647C и SIMATIC IPC847C до версии BIOS V15.01.14:
https://support.industry.siemens.com/cs/ww/en/view/48792076

Для SIMATIC IPC647D и SIMATIC IPC847D до версии BIOS V19.01.14:
https://support.industry.siemens.com/cs/ww/en/view/109037779

Для SIMATIC ITP1000 до версии BIOS V23.01.04:
https://support.industry.siemens.com/cs/us/en/view/109748173

Для SIMATIC WinAC RTX (F) 2010 до SIMATIC WinAC RTX 2010 SP3:
https://support.industry.siemens.com/cs/ww/en/view/109765109

Для SIMATIC S7-1500 CPU S7-1518-4 PN/DP MFP, SIMATIC S7-1500 CPU S7-1518-4 PN/DP ODK, SIMATIC S7-1500 CPU S7-1518F-4 PN/DP ODK и SIMATIC S7-1500 CPU S7-1518F-4 PN/DP MFP до версии BIOS V2.6:
https://support.industry.siemens.com/cs/ww/en/view/109478459

Компенсирующие меры:

Для RUGGEDCOM APE и RUGGEDCOM RX1400 VPE:
Применение исправлений Debian по мере их появления

Ограничение возможностей запуска ненадежного кода, если это возможно
Применение концепции углубленной защиты
https://www.siemens.com/industrialsecurity

Оценка CVSS
Балл2.1 — средняя опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-254686.pdfhttps://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.htmlhttps://cert-portal.siemens.com/productcert/pdf/ssa-608355.pdfhttps://nvd.nist.gov/vuln/detail/CVE-2018-3640
Проверьте безопасность своего сайта и почты → Полная проверка домена