ГлавнаяБаза уязвимостей БДУ → BDU:2023-00934
3.8средняя

BDU:2023-00934 (CVE-2022-27672)

Уязвимость технологии SMT процессоров AMD, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-03-01
Описание

Уязвимость технологии SMT процессоров AMD связана с ошибками, возникающими после выхода потока ядра процессора из состояния сна C0. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию (получить доступ к кэшу RAP (return address predictor))

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Astra Linux Special Edition (1.7)1st Gen AMD EPYC2nd Gen AMD EPYCAMD Ryzen 2000 series DesktopAMD Ryzen 3000 Series DesktopAMD Ryzen 4000 Series Desktop processors with Radeon graphics2nd Gen AMD Ryzen Threadripper3rd Gen AMD Ryzen ThreadripperAMD Ryzen Threadripper PRO processorsAMD Athlon 3000 Series Mobile processors with Radeon graphicsAMD Ryzen 2000 Series Mobile processor2nd Gen AMD Ryzen Mobile processor with Radeon graphicsAMD Ryzen 4000 Series Mobile processors with Radeon graphicsAMD Ryzen 5000 Series Mobile processor with Radeon graphicsAMD Athlon Mobile processor with Radeon graphicsAMD Athlon X4 processor7th Generation AMD A-Series APUsAMD Ryzen 3000 Series Mobile processorLinux (от 4.0 до 5.15.93 включительно)Linux (от 5.16 до 6.1.11 включительно)ОСОН ОСнова Оnyx (до 2.8)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Обновление программного обеспечения:
исправление be8de49bea505e7777a69ef63d60e02ac1712683 определяет новый флаг (X86_BUG_SMT_RSB), по которому можно будет определить подверженность процессора данной уязвимости.
исправление 6f0f2d5ef895d66a3f2b32dd05189ec34afa5a55 добавляет проверку и обработку флага X86_BUG_SMT_RSB в KVM для предотвращения утечки данные
исправление 493a2c2d23ca91afba96ac32b6cbafb54382c2a3 описание уязвимости

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-27672

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-27672.html

Для продуктов Advanced Micro Devices Inc.:
https://www.amd.com/en/corporate/product-security/bulletin/AMD-SB-1045

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xen до версии 4.17.1+2-gb773c48e36-1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения linux до версии 5.15.140-1.oasnova221

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет linux до 5.4.0-162.astra1+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет linux до 5.4.0-162.astra1+ci21 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет linux-5.15 до 5.15.0-83.astra1+ci36 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл3.8 — средняя опасность
Источники и патчи
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27672https://www.openwall.com/lists/oss-security/2023/02/14/4https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1045https://xenbits.xen.org/xsa/advisory-426.htmlhttps://kernel.org/doc/html//next/admin-guide/hw-vuln/cross-thread-rsb.htmlhttps://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.94https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.1.12https://security-tracker.debian.org/tracker/CVE-2022-27672
Проверьте безопасность своего сайта и почты → Полная проверка домена