ГлавнаяБаза уязвимостей БДУ → BDU:2020-00130
4.6средняя

BDU:2020-00130 (CVE-2019-11135)

Уязвимость реализации технологии Intel Transactional Synchronization Extensions (TSX) микропрограммного обеспечения процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2020-01-20
Описание

Уязвимость реализации технологии Intel Transactional Synchronization Extensions (TSX) микропрограммного обеспечения процессоров Intel связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию путём реализации атаки по побочным каналам

Затрагиваемое ПО и версии
Windows 7 Service Pack 1Windows Server 2008 Service Pack 2Windows 8.1Windows Server 2012Windows Server 2012 R2Windows Server 2008 R2 Service Pack 1Windows 10Astra Linux Special Edition (1.5 «Смоленск»)Windows 10 1607Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Windows Server 2016Windows Server 2008 Service Pack 2 (Server Core Installation)Windows Server 2012 R2 (Server Core installation)Windows Server 2016 (Server Core installation)Debian GNU/Linux (9)Windows Server 2008 R2 Service Pack 1 (Server Core installation)Windows 10 1709Windows 10 1803Windows Server 1803Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)Astra Linux Special Edition (1.6 «Смоленск»)8th Generation Intel CoreWindows 10 1903Windows Server 19039th Generation Intel CoreOpenSUSE Leap (15.0)OpenSUSE Leap (15.1)
Способ устранения

Использование рекомендаций производителя:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.154
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.84
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.202
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.202
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.11

Для продуктов Intel Corp.:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html

Для программных продуктов Red Hat Inc:
https://access.redhat.com/security/cve/cve-2019-11135

Для программных продуктов Microsoft Corp.:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-11135

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-11135

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00045.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00046.html
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00042.html

Для Ubuntu:
https://usn.ubuntu.com/4186-2/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I5WWPW4BSZDDW7VHU427XTVXV7ROOFFW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IZYATWNUGHRBG6I3TC24YHP5Y3J7I6KH/

Для Astra Linux:
Обновление программного обеспечения (пакета linux-4.9) до 4.9.189-3+deb9u2~deb8u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения xen до версии 4.8.5.final+shim4.10.4-1+deb9u12
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-11135https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11135https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.154https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.84https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.202https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.202https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.11
Проверьте безопасность своего сайта и почты → Полная проверка домена