ГлавнаяБаза уязвимостей БДУ → BDU:2022-06850
3.8средняя

BDU:2022-06850 (CVE-2022-23824)

Уязвимость реализации механизма Indirect Branch Prediction Barrier (IBPB) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2022-11-21
Описание

Уязвимость реализации механизма Indirect Branch Prediction Barrier (IBPB) микропрограммного обеспечения процессоров AMD связана с некорректной очисткой стека RAS (Return Address Stack). Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации, используя побочный канал

Затрагиваемое ПО и версии
Windows 7 Service Pack 1Windows Server 2008 Service Pack 2Windows 8.1Windows Server 2012Windows Server 2012 R2Windows Server 2008 R2 Service Pack 1Windows 10Windows 10 1607Red Hat Enterprise Linux (7)Windows Server 2016Windows RT 8.1Windows Server 2008 Service Pack 2 (Server Core Installation)Windows Server 2012 R2 (Server Core installation)Windows Server 2016 (Server Core installation)Windows Server 2008 R2 Service Pack 1 (Server Core installation)Windows 10 1809Windows Server 2019Windows Server 2019 (Server Core installation)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Enterprise Storage (6)SUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)SUSE Linux Enterprise High Performance Computing (12 SP5)
Способ устранения

Использование рекомендаций:
Для программных продуктов AMD:
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1040

Для программных продуктов Microsoft Corp.:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23824

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-23824

Для Xen:
https://xenbits.xen.org/xsa/advisory-422.html

Для программных продуктов Novell Inc.:
https://www.suse.com/de-de/security/cve/CVE-2022-23824.html

Организационные меры:
Производитель процессоров AMD рекомендует следовать пункту MITIGATION V2-3, описанного в рекомендациях: https://www.amd.com/system/files/documents/software-techniques-for-managing-speculation.pdf

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.17.1+2-gb773c48e36-1

Оценка CVSS
Балл3.8 — средняя опасность
Источники и патчи
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-https://www.cybersecurity-help.cz/vdb/SB2022110914https://access.redhat.com/security/cve/cve-2022-23824https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1040https://bugzilla.redhat.com/show_bug.cgi?id=2119127https://xenbits.xen.org/xsa/advisory-422.htmlhttps://seclists.org/oss-sec/2022/q4/135https://www.suse.com/de-de/security/cve/CVE-2022-23824.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена