BDU:2018-00003: Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости Уязвимость процессоров Intel, ARM и AMD связана с особенностями функционирования модуля прогнозирования ветвлений. Эксплуатация уязвимости позволяет нарушителю получить доступ к защищенной памяти из программы, не обладающей соответствующими привилегиями, путём использования механизма прогнозирования косвенных переходов
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., Intel Corp., ARM Limited, Advanced Micro Devices Inc., Siemens AG, Beckhoff Automation GmbH & Co. KG, Сообщество свободного программного обеспечения, Apple Inc., Yokogawa Electric Corporation, ООО «НТЦ ИТ РОСА»
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, Intel Atom, Intel Xeon, Intel Pentium, Intel Core, Intel Celeron, ARM Cortex-A75, ARM Cortex-R7, ARM Cortex-R8, ARM Cortex-A9, ARM Cortex-A17, ARM Cortex-A57, ARM Cortex-A72, ARM Cortex-A73, AMD, SIMATIC IPC547E, SIMATIC IPC827D, RUGGEDCOM APE, RUGGEDCOM RX1400 VPE, SIMATIC ET 200SP Open Controller, SIMATIC Field PG M4, SIMATIC Field PG M5, SIMATIC HMI Basic Panels 2nd Generation, SIMATIC HMI Comfort 15-22 Panels, SIMATIC HMI Comfort 4-12" Panels, SIMATIC HMI Comfort PRO Panels, SIMATIC HMI KTP Mobile Panels, SIMATIC IPC227E, SIMATIC IPC277E, SIMATIC IPC3000 SMART V2, SIMATIC IPC327E, SIMATIC IPC347E, SIMATIC IPC377E, SIMATIC IPC427C, SIMATIC IPC427D, SIMATIC IPC427E, SIMATIC IPC477C, SIMATIC IPC477D, SIMATIC IPC477E, SIMATIC IPC477E Pro, SIMATIC IPC547G, SIMATIC IPC627C, SIMATIC IPC627D, SIMATIC IPC647D, SIMATIC IPC677C, SIMATIC IPC677D, SIMATIC IPC827C, SIMATIC IPC847C, SIMATIC IPC847D, SIMATIC ITP1000, SIMATIC S7-1500 Software Controller, SIMATIC S7-1518-4 PN/DP ODK, SIMATIC S7-1518F-4 PN/DP ODK, SIMOTION P320-4E, SIMOTION P320-4S, SINEMA Remote Connect, SINUMERIK 840D sl, SINUMERIK Panels интегрированные с TCU, SINUMERIK TCU, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE Linux Enterprise Workstation Extension, SUSE OpenStack Cloud, Beckhoff ATX Industrial Motherboard, Beckhoff Embedded PC, Beckhoff Basic CPU, SINUMERIK PCU 50.5, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Basesystem, SUSE Linux Enterprise Module for Desktop Applications, SUSE Linux Enterprise Module for Development Tools, SUSE Linux Enterprise Build System Kit, SUSE CaaS Platform, SUSE Linux Enterprise High Availability, SUSE Linux Enterprise Live Patching, SUSE Linux Enterprise Module for Legacy Software, SUSE Linux Enterprise Module for Live Patching, SUSE Linux Enterprise Module for Public Cloud, SUSE Linux Enterprise Point of Sale, SUSE Linux Enterprise Real Time Extension, SUSE Linux Enterprise Module for Server Applications, Mac OS, OpenStack Cloud Magnum Orchestration, OS X El Capitan, iOS, SIMATIC WinAC RTX 2010 incl. F, CENTUM VP, РОСА Кобальт (запись в едином реестре российских программ №1999), RELS
Версия ПО 14.04 LTS (Ubuntu), 1.5 «Смоленск» (Astra Linux Special Edition), 17.04 (Ubuntu), 16.04 LTS (Ubuntu), 42.2 (OpenSUSE Leap), 42.3 (OpenSUSE Leap), - (Intel Atom), - (Intel Xeon), - (Intel Pentium), - (Intel Core), - (Intel Celeron), - (ARM Cortex-A75), - (ARM Cortex-R7), - (ARM Cortex-R8), - (ARM Cortex-A9), - (ARM Cortex-A17), - (ARM Cortex-A57), - (ARM Cortex-A72), - (ARM Cortex-A73), - (AMD), 17.10 (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), до R1.30.0 (SIMATIC IPC547E), до 19.02.11 (SIMATIC IPC827D), до 9.4 (RUGGEDCOM APE), до 9.4 (RUGGEDCOM RX1400 VPE), до 2.6 (SIMATIC ET 200SP Open Controller), до 18.01.08 (SIMATIC Field PG M4), до 22.01.05 (SIMATIC Field PG M5), от 14 до 14 SP1 Upd 6 (SIMATIC HMI Basic Panels 2nd Generation), от 15 до 15 Upd 2 (SIMATIC HMI Basic Panels 2nd Generation), от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort 15-22 Panels), от 15 до 15 Upd 2 (SIMATIC HMI Comfort 15-22 Panels), от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort 4-12" Panels), от 15 до 15 Upd 2 (SIMATIC HMI Comfort 4-12" Panels), от 14 до 14 SP1 Upd 6 (SIMATIC HMI Comfort PRO Panels), от 15 до 15 Upd 2 (SIMATIC HMI Comfort PRO Panels), от 14 до 14 SP1 Upd 6 (SIMATIC HMI KTP Mobile Panels), от 15 до 15 Upd 2 (SIMATIC HMI KTP Mobile Panels), до 20.01.11 (SIMATIC IPC227E), до 20.01.11 (SIMATIC IPC277E), до SMS-002 1.4 (SIMATIC IPC3000 SMART V2), до 1.6.3C (SIMATIC IPC327E), до SMS-002 1.4 (SIMATIC IPC347E), до 1.6.3C (SIMATIC IPC377E), - (SIMATIC IPC427C), до 17.0x.12 (SIMATIC IPC427D), до 21.01.08 (SIMATIC IPC427E), - (SIMATIC IPC477C), до 17.0x.12 (SIMATIC IPC477D), до 21.01.08 (SIMATIC IPC477E), до 21.01.08 (SIMATIC IPC477E Pro), до R1.21.0 (SIMATIC IPC547G), до 15.02.14 (SIMATIC IPC627C), до 19.02.10 (SIMATIC IPC627D), до 19.01.11 (SIMATIC IPC647D), до 15.02.14 (SIMATIC IPC677C), до 19.02.10 (SIMATIC IPC677D), до 15.02.14 (SIMATIC IPC827C), до 15.01.13 (SIMATIC IPC847C), до 19.01.11 (SIMATIC IPC847D), до 23.01.03 (SIMATIC ITP1000), до 2.5 (SIMATIC S7-1500 Software Controller), до 2.5.2 (SIMATIC S7-1518-4 PN/DP ODK), до 2.5.2 (SIMATIC S7-1518F-4 PN/DP ODK), до 17.0x.13 (SIMOTION P320-4E), до 17.0x.13 (SIMOTION P320-4S), - (SINEMA Remote Connect), от 50.5 (SINUMERIK 840D sl), до 2016 года (SINUMERIK Panels интегрированные с TCU), от 30.3 (SINUMERIK TCU), 12 SP3 (Suse Linux Enterprise Desktop), 12 SP4 (Suse Linux Enterprise Desktop), 4 (SUSE Enterprise Storage), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Software Development Kit), 12 SP4 (SUSE Linux Enterprise Software Development Kit), 12 SP3 (SUSE Linux Enterprise Workstation Extension), 12 SP4 (SUSE Linux Enterprise Workstation Extension), 7 (SUSE OpenStack Cloud), CBxx56 (Beckhoff ATX Industrial Motherboard), CBxx55 (Beckhoff ATX Industrial Motherboard), CBxx63 (Beckhoff ATX Industrial Motherboard), CBxx61 (Beckhoff ATX Industrial Motherboard), CBxx60 (Beckhoff ATX Industrial Motherboard), CBxx64 (Beckhoff ATX Industrial Motherboard), CX51x0 (Beckhoff Embedded PC), CX20x0 (Beckhoff Basic CPU), - (SINUMERIK PCU 50.5), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 11 SP4 (Suse Linux Enterprise Server), 11 SP4 (SUSE Linux Enterprise Software Development Kit), 12.04 ESM (Ubuntu), 15 (SUSE Linux Enterprise Module for Basesystem), 15 SP1 (SUSE Linux Enterprise Module for Basesystem), 15.0 (OpenSUSE Leap), 15 (SUSE Linux Enterprise Module for Desktop Applications), 15 (SUSE Linux Enterprise Module for Development Tools), 15 SP1 (SUSE Linux Enterprise Module for Development Tools), 15 SP1 (SUSE Linux Enterprise Module for Desktop Applications), 12 SP3 (SUSE Linux Enterprise Build System Kit), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), - (SUSE CaaS Platform), 12 SP2 (SUSE Linux Enterprise High Availability), 12 SP3 (SUSE Linux Enterprise High Availability), 12 SP4 (SUSE Linux Enterprise High Availability), 15 (SUSE Linux Enterprise High Availability), 15 SP1 (SUSE Linux Enterprise High Availability), 12 SP3 (SUSE Linux Enterprise Live Patching), 15 SP1 (SUSE Linux Enterprise Module for Legacy Software), 15 (SUSE Linux Enterprise Module for Legacy Software), 15 (SUSE Linux Enterprise Module for Live Patching), 12 (SUSE Linux Enterprise Module for Public Cloud), 11 SP3 (SUSE Linux Enterprise Point of Sale), 11 SP4 (SUSE Linux Enterprise Real Time Extension), 12 SP3 (SUSE Linux Enterprise Real Time Extension), 12-LTSS (Suse Linux Enterprise Server), 11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 11 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12-LTSS (SUSE Linux Enterprise Server for SAP Applications), 15 (SUSE Linux Enterprise Workstation Extension), 15 SP1 (SUSE Linux Enterprise Workstation Extension), 12 SP1-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 15 SP1 (SUSE Linux Enterprise Module for Live Patching), 15 SP1 (SUSE Linux Enterprise Module for Server Applications), 15 (SUSE Linux Enterprise Module for Server Applications), Sierra 10.12.6 (Mac OS), 11 SP3-LTSS (Suse Linux Enterprise Server), 6 (SUSE OpenStack Cloud), 7 (OpenStack Cloud Magnum Orchestration), 12 SP2-CLIEN (SUSE Linux Enterprise Point of Sale), 7.0 (Debian GNU/Linux), 12 SP2 (SUSE Linux Enterprise Build System Kit), 12 SP2 (Suse Linux Enterprise Desktop), 12 (SUSE Linux Enterprise High Availability), 12 SP1 (SUSE Linux Enterprise High Availability), 12 (SUSE Linux Enterprise Live Patching), 12 SP2 (SUSE Linux Enterprise Real Time Extension), 12 SP2 (Suse Linux Enterprise Server), 12 SP2 (SUSE Linux Enterprise Software Development Kit), 12 SP2 (SUSE Linux Enterprise Workstation Extension), до 10.11.6 (OS X El Capitan), High Sierra 10.13.2 (Mac OS), до 11.2.2 (iOS), до SP3 (SIMATIC WinAC RTX 2010 incl. F), до R6.08.00 (CENTUM VP), - (РОСА Кобальт), 6.x (RELS)
Тип ПО Операционная система, ПО программно-аппаратного средства, Микропрограммный код, ПО сетевого программно-аппаратного средства, Программное средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 14.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Canonical Ltd. Ubuntu 17.04 Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • Novell Inc. OpenSUSE Leap 42.2 Не указана
  • Novell Inc. OpenSUSE Leap 42.3 Не указана
  • Canonical Ltd. Ubuntu 17.10 Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4 Не указана
  • Novell Inc. Suse Linux Enterprise Server 11 SP4 Не указана
  • Canonical Ltd. Ubuntu 12.04 ESM Не указана
  • Novell Inc. OpenSUSE Leap 15.0 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Не указана
  • Apple Inc. Mac OS Sierra 10.12.6 Не указана
  • Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 7.0 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2 Не указана
  • Apple Inc. OS X El Capitan до 10.11.6 Не указана
  • Apple Inc. Mac OS High Sierra 10.13.2 Не указана
  • Apple Inc. iOS до 11.2.2 Не указана
  • ООО «НТЦ ИТ РОСА» РОСА Кобальт - Не указана (запись в едином реестре российских программ №1999)
  • ООО «НТЦ ИТ РОСА» RELS 6.x Не указана
Тип ошибки Раскрытие информации, Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки CWE-200, CWE-264
Класс уязвимости Уязвимость архитектуры
Дата выявления 28.06.2017
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Возможны следующие меры по устранению уязвимости:
-вариант 1: на аппаратном уровне;
-вариант 2: на системном уровне;
-вариант 3: на прикладном уровне.
Первый вариант предполагает замену процессора, однако данный вариант трудно реализуем на практике.
Наиболее актуален второй вариант, предполагающий установку обновления, выпущенного разработчиками системного программного обеспечения.
Третий вариант применим к браузерам и возможен лишь для противодействия векторам атак, связанных с использованием JavaScript.

Подробные рекомендации по устранению представлены на сайтах разработчиков программного обеспечения:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
http://nvidia.custhelp.com/app/answers/detail/a_id/4613
http://nvidia.custhelp.com/app/answers/detail/a_id/4614
http://xenbits.xen.org/xsa/advisory-254.html
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
https://developer.arm.com/support/security-update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://security.netapp.com/advisory/ntap-20180104-0001/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://support.citrix.com/article/CTX231399
https://support.f5.com/csp/article/K91229003
https://support.lenovo.com/us/en/solutions/LEN-18282
https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
https://www.synology.com/support/security/Synology_SA_18_01
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
https://source.android.com/security/bulletin/2018-01-01
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en

Обновление APE Linux base image для RUGGEDCOM APE до Debian 9.4.:
https://support.industry.siemens.com/cs/us/en/view/109757656

Обновление VPE Linux base image для RUGGEDCOM RX1400 VPE до Debian 9.4:
https://support.industry.siemens.com/cs/us/en/view/109757655

Обновление SIMATIC ET 200 SP Open Controller до V2.6:
https://support.industry.siemens.com/cs/ww/en/view/109759122

Обновление BIOS для SIMATIC Field PG M4 до V18.01.08:
https://support.industry.siemens.com/cs/ww/en/view/109037537

Обновление BIOS для SIMATIC Field PG M5 до V22.01.05:
https://support.industry.siemens.com/cs/ww/en/view/109738122

Обновление SIMATIC HMI Basic Panels 2nd Generation (с SIMATIC WinCC V14), SIMATIC HMI Comfort 15-22 Panels (только MLFBs: 6AV2124-0QC02-0AX1, 6AV2124-1QC02-0AX1, 6AV2124-0UC02-0AX1, 6AV2124-0XC02-0AX1), SIMATIC HMI Comfort 4-12" Panels (с SIMATIC WinCC V14), SIMATIC HMI Comfort PRO Panels (с SIMATIC WinCC V14) и SIMATIC HMI KTP Mobile Panels (с SIMATIC WinCC V14) до V14 SP1 Upd 6:
https://support.industry.siemens.com/cs/ao/en/view/109747387

Обновление SIMATIC HMI Basic Panels 2nd Generation (с SIMATIC WinCC V15), SIMATIC HMI Comfort 15-22 Panels (только MLFBs: 6AV2124-0QC02-0AX1, 6AV2124-1QC02-0AX1, 6AV2124-0UC02-0AX1, 6AV2124-0XC02-0AX1), SIMATIC HMI Comfort 4-12" Panels (с SIMATIC WinCC V15) и SIMATIC HMI Comfort PRO Panels (с SIMATIC WinCC V15) до V15 Upd 2:
https://support.industry.siemens.com/cs/ww/en/view/109755826

Обновление SIMATIC HMI KTP Mobile Panels (с SIMATIC WinCC V15) до V15 Upd 2:
https://support.industry.siemens.com/cs/ww/en/view/109755826

Обновление BIOS для SIMATIC IPC227E и SIMATIC IPC277E до V20.01.11:
https://support.industry.siemens.com/cs/ww/en/view/109481715

Обновление BIOS для SIMATIC IPC3000 SMART V2 и SIMATIC IPC347E до SMS-002 V1.4:
https://support.industry.siemens.com/cs/document/109759824/

Обновление BIOS для SIMATIC IPC327E и SIMATIC IPC377E до V1.6.3C:
https://support.industry.siemens.com/cs/document/109757289/

Обновление BIOS для SIMATIC IPC427D, SIMOTION P320-4S, SIMOTION P320-4E и SIMATIC IPC477D до V17.0x.12:
https://support.industry.siemens.com/cs/ww/en/view/108608500

Обновление BIOS для SIMATIC IPC427E, SIMATIC IPC477E и SIMATIC IPC477E Pro до V21.01.08:
https://support.industry.siemens.com/cs/ww/en/view/109742593

Обновление BIOS для SIMATIC IPC547E до R1.30.0:
https://support.industry.siemens.com/cs/us/en/view/109481624

Обновление BIOS для SIMATIC IPC547G до R1.21.0:
https://support.industry.siemens.com/cs/ww/en/view/109750349

Обновление BIOS для SIMATIC IPC627C, SIMATIC IPC677C, SINUMERIK PCU 50.5 и SIMATIC IPC827C до V15.02.14:
https://support.industry.siemens.com/cs/ww/en/view/48792087

Обновление BIOS для SIMATIC IPC627D, SIMATIC IPC677D и SIMATIC IPC827D до V19.02.10:
https://support.industry.siemens.com/cs/ww/en/view/109474954

Обновление BIOS для SIMATIC IPC647C и SIMATIC IPC847C до V15.01.13:
https://support.industry.siemens.com/cs/ww/en/view/48792076

Обновление BIOS для SIMATIC IPC647D и SIMATIC IPC847D до V19.01.11:
https://support.industry.siemens.com/cs/ww/en/view/109037779

Обновление BIOS для SIMATIC ITP1000 до V23.01.03:
https://support.industry.siemens.com/cs/ww/en/view/109748173

Обновление SIMATIC S7-1500 Software Controller до V2.5:
https://support.industry.siemens.com/cs/ww/en/view/109756778

Обновление SIMATIC S7-1518-4 PN/DP ODK (MLFB: 6ES7518-4AP00-3AB0) и SIMATIC S7-1518F-4 PN/DP ODK (MLFB: 6ES7518-4FP00-3AB0) до V2.5.2:
https://support.industry.siemens.com/cs/ww/en/view/109478459

Обновление программного обеспечения:
Для SIMATIC WinAC RTX (F) 2010 до SIMATIC WinAC RTX 2010 SP3:
https://support.industry.siemens.com/cs/ww/en/view/109765109

Компенсирующие меры:
Для SINEMA Remote Connect:
https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html

Для программных продуктов Yokogawa Electric Corporation:
https://web-material3.yokogawa.com/1/31095/files/YSAR-21-0002-E.pdf?_ga=2.137675248.1184356719.1618805721-85535984.1585215333

Для Beckhoff ATX Industrial Motherboard, Beckhoff Embedded PC и Beckhoff Basic CPU использование рекомендаций:
https://download.beckhoff.com/download/document/product-security/Advisories/advisory-2019-001.pdf

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-5715/

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4120
https://www.debian.org/security/2018/dsa-4187
https://www.debian.org/security/2018/dsa-4188
https://www.debian.org/security/2018/dsa-4213
https://lists.debian.org/debian-lts-announce/2018/05/msg00000.html
https://lists.debian.org/debian-lts-announce/2018/07/msg00015.html
https://lists.debian.org/debian-lts-announce/2018/07/msg00016.html
https://lists.debian.org/debian-lts-announce/2018/09/msg00007.html
https://lists.debian.org/debian-lts-announce/2018/09/msg00017.html

Для Ubuntu:
https://usn.ubuntu.com/3531-1/
https://usn.ubuntu.com/3531-3/
https://usn.ubuntu.com/3540-2/
https://usn.ubuntu.com/3541-2/
https://usn.ubuntu.com/3542-2/
https://usn.ubuntu.com/3549-1/
https://usn.ubuntu.com/3560-1/
https://usn.ubuntu.com/3561-1/
https://usn.ubuntu.com/3580-1/
https://usn.ubuntu.com/3581-1/
https://usn.ubuntu.com/3581-2/
https://usn.ubuntu.com/3582-1/
https://usn.ubuntu.com/3582-2/
https://usn.ubuntu.com/3582-2/
https://usn.ubuntu.com/3594-1/
https://usn.ubuntu.com/3597-1/
https://usn.ubuntu.com/3597-2/
https://usn.ubuntu.com/3620-2/
https://usn.ubuntu.com/3690-1/
https://usn.ubuntu.com/3777-3/

Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-15.004

Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT208403
https://support.apple.com/en-us/HT208401
https://support.apple.com/en-ca/HT208465
https://support.apple.com/en-us/HT208397
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00002.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00003.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00004.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00005.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00006.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00008.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00009.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00012.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00013.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2018-01/msg00016.html http://nvidia.custhelp.com/app/answers/detail/a_id/4609 http://nvidia.custhelp.com/app/answers/detail/a_id/4611 http://nvidia.custhelp.com/app/answers/detail/a_id/4613 http://nvidia.custhelp.com/app/answers/detail/a_id/4614 http://packetstormsecurity.com/files/145645/Spectre-Information-Disclosure-Proof-Of-Concept.html http://www.kb.cert.org/vuls/id/584653 http://www.securityfocus.com/bid/102376 http://www.securitytracker.com/id/1040071 http://xenbits.xen.org/xsa/advisory-254.html https://access.redhat.com/security/vulnerabilities/speculativeexecution https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/ https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/ https://developer.arm.com/support/security-update https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html https://security.netapp.com/advisory/ntap-20180104-0001/ https://spectreattack.com/ https://support.citrix.com/article/CTX231399 https://support.f5.com/csp/article/K91229003 https://support.lenovo.com/us/en/solutions/LEN-18282 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel https://www.exploit-db.com/exploits/43427/ https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/ https://www.synology.com/support/security/Synology_SA_18_01 https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html https://cert-portal.siemens.com/productcert/pdf/ssa-168644.pdf https://download.beckhoff.com/download/document/product-security/Advisories/advisory-2019-001.pdf https://web-material3.yokogawa.com/1/31095/files/YSAR-21-0002-E.pdf?_ga=2.137675248.1184356719.1618805721-85535984.1585215333 https://www.debian.org/security/2018/dsa-4120 https://www.debian.org/security/2018/dsa-4187 https://www.debian.org/security/2018/dsa-4188 https://www.debian.org/security/2018/dsa-4213 http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-15.004 https://lists.debian.org/debian-lts-announce/2018/05/msg00000.html https://lists.debian.org/debian-lts-announce/2018/07/msg00015.html https://lists.debian.org/debian-lts-announce/2018/07/msg00016.html https://lists.debian.org/debian-lts-announce/2018/09/msg00007.html https://lists.debian.org/debian-lts-announce/2018/09/msg00017.html https://usn.ubuntu.com/3531-1/ https://usn.ubuntu.com/3531-3/ https://usn.ubuntu.com/3540-2/ https://usn.ubuntu.com/3541-2/ https://usn.ubuntu.com/3542-2/ https://usn.ubuntu.com/3549-1/ https://usn.ubuntu.com/3560-1/ https://usn.ubuntu.com/3561-1/ https://usn.ubuntu.com/3580-1/ https://usn.ubuntu.com/3581-1/ https://usn.ubuntu.com/3581-2/ https://usn.ubuntu.com/3582-1/ https://usn.ubuntu.com/3582-2/ https://usn.ubuntu.com/3582-2/ https://usn.ubuntu.com/3594-1/ https://usn.ubuntu.com/3597-1/ https://usn.ubuntu.com/3597-2/ https://usn.ubuntu.com/3620-2/ https://usn.ubuntu.com/3690-1/ https://usn.ubuntu.com/3777-3/ https://support.apple.com/en-us/HT208403 https://support.apple.com/en-us/HT208401 https://support.apple.com/en-ca/HT208465 https://support.apple.com/en-us/HT208397 https://cert-portal.siemens.com/productcert/pdf/ssa-608355.pdf https://nvd.nist.gov/vuln/detail/CVE-2017-5715 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей
Прочая информация Данная уязвимость связана с атакой, получившей название «Spectre»