ГлавнаяБаза уязвимостей БДУ → BDU:2022-04388
3.8средняя

BDU:2022-04388 (CVE-2022-29901)

Уязвимость микропрограммного обеспечения процессоров Intel и AMD, позволяющая нарушителю раскрыть защищаемую информацию из памяти ядра или осуществить атаку на хост-систему из виртуальных машин
Опубликовано: 2022-07-15
Описание

Уязвимость микропрограммного обеспечения процессоров Intel и AMD связана с ошибками при обработке инструкции "ret" (return), извлекающей адрес для перехода из стека. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию из памяти ядра или осуществить атаку на хост-систему из виртуальных машин

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP4)7th Generation Intel Core8th Generation Intel Core6th Generation Intel CoreRed Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise High Availability (12 SP4)SUSE Linux Enterprise Live Patching (12 SP4)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE OpenStack Cloud (Crowbar 8)Debian GNU/Linux (10)SUSE OpenStack Cloud (9)SUSE Linux Enterprise High Performance Computing (12 SP5)SUSE Linux Enterprise High Availability (12 SP5)SUSE Linux Enterprise Workstation Extension (12 SP5)SUSE Linux Enterprise Live Patching (12 SP5)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Desktop (12 SP5)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Fedora (35)Astra Linux Special Edition (1.7)SUSE Linux Enterprise High Performance Computing (15 SP3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.266
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.133
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.57
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.18.14

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-29901.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-29901

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-29901

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/D4RW5FCIYFNCQOEFJEUIRW3DGYW7CWBG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M27MB3QFNIJV4EQQSXWARHP3OGX6CR6K/

Для продуктов Intel Corp.:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00702.html

Для продуктов Advanced Micro Devices Inc.:
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1037

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения linux до версии 5.15.86-1.osnova211

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-70.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux Special Edition 4.7:
- обновить пакет linux до 5.4.0-162.astra1+ci8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci24 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47



Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.10 до 5.10.142-1.astra6+ci38 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл3.8 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2022/07/12/2http://www.openwall.com/lists/oss-security/2022/07/12/4http://www.openwall.com/lists/oss-security/2022/07/12/5http://www.openwall.com/lists/oss-security/2022/07/13/1https://access.redhat.com/security/cve/CVE-2022-29901https://community.intel.com/t5/Blogs/Products-and-Solutions/Security/Chips-Salsa-Episode-21-July-2022-Security-Advisories-Retbleed/post/1399055https://comsec.ethz.ch/research/microarch/retbleed/https://comsec.ethz.ch/retbleed
Проверьте безопасность своего сайта и почты → Полная проверка домена