CVE-2018-3640Низкий
AST
AST
Бюллетени безопасности Astra Linux
Astra публикует бюллетени для каждого релиза, сопоставляя upstream CVE с собственными репозиториями пакетов, с указанием сроков устранения в привязке к уровню сертификации (SE 1.7, CE 2.12 и т. д.). Необходимый источник для систем, требующих сертификации ФСТЭК/ФСБ.
Регион
Россия
Обновления
24 ч
Лицензия
Открытые данные
Вендорские бюллетени безопасности Astra Linux Special Edition и Common Edition — основной сертифицированной ОС для обороны и критической инфраструктуры РФ.
https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362056 →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Системы с микропроцессорами, использующими спекулятивное выполнение и выполняющие спекулятивное чтение системных регистров, могут позволить…
CVSS
2.8
Низкий
EPSS
0.08
p93
Опубликовано
2018-01-01
Обновлено
2018-01-01
Описание
Системы с микропроцессорами, использующими спекулятивное выполнение и выполняющие спекулятивное чтение системных регистров, могут позволить неавторизованное раскрытие системных параметров злоумышленнику с локальным доступом пользователя через анализ по сторонним каналам, также известное как Rogue System Register Read (RSRE), вариант 3a.
Теги · CWE
CWE-1231
CWE-1231БазаСтабильный
Ненадлежащее предотвращение изменения бита блокировки
Продукт использует доверенный бит блокировки для ограничения доступа к регистрам, адресным регионам или иным ресурсам, однако не предотвращает изменение значения бита блокировки после его установки.
https://cwe.mitre.org/data/definitions/1231.html →Открыть в коллекции CWE →CWE-203
CWE-203БазаНеполный
Наблюдаемое расхождение в поведении
Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →CAPEC-189
CAPEC-189СтандартЧерновик
Обратная разработка методом «чёрного ящика»
Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →CAPEC-680
CAPEC-680ДетальныйЧерновик
Эксплуатация некорректно управляемых аппаратных регистров
Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/680.html →Открыть в коллекции CAPEC →Затронутые продукты
Atom_cAtom_eAtom_zCeleron_jCeleron_nCore_i3Core_i5Core_i7Core_mPentiumPentium_jPentium_silverXeon_e-1105cXeon_e3Xeon_e3_1105c_v2Xeon_e3_1125c_v2Xeon_e3_1220_v2Xeon_e3_1220_v3Xeon_e3_1220_v5Xeon_e3_1220_v6Xeon_e3_12201Xeon_e3_12201_v2Xeon_e3_1220l_v3Xeon_e3_1225Xeon_e3_1225_v2Xeon_e3_1225_v3Xeon_e3_1225_v5Xeon_e3_1225_v6Xeon_e3_1226_v3Xeon_e3_1230Xeon_e3_1230_v2Xeon_e3_1230_v3Xeon_e3_1230_v5Xeon_e3_1230_v6Xeon_e3_1230l_v3Xeon_e3_1231_v3Xeon_e3_1235Xeon_e3_1235l_v5Xeon_e3_1240Xeon_e3_1240_v2Xeon_e3_1240_v3Xeon_e3_1240_v5Xeon_e3_1240_v6Xeon_e3_1240l_v3Xeon_e3_1240l_v5Xeon_e3_1241_v3Xeon_e3_1245Xeon_e3_1245_v2Xeon_e3_1245_v3Xeon_e3_1245_v5Xeon_e3_1245_v6Xeon_e3_1246_v3Xeon_e3_1258l_v4Xeon_e3_1260lXeon_e3_1260l_v5Xeon_e3_1265l_v2Xeon_e3_1265l_v3Xeon_e3_1265l_v4Xeon_e3_1268l_v3Xeon_e3_1268l_v5Xeon_e3_1270Xeon_e3_1270_v2Xeon_e3_1270_v3Xeon_e3_1270_v5Xeon_e3_1270_v6Xeon_e3_1271_v3Xeon_e3_1275_v2Xeon_e3_1275_v3Xeon_e3_1275_v5Xeon_e3_1275_v6Xeon_e3_1275l_v3Xeon_e3_1276_v3Xeon_e3_1278l_v4Xeon_e3_1280Xeon_e3_1280_v2Xeon_e3_1280_v3Xeon_e3_1280_v5Xeon_e3_1280_v6Xeon_e3_1281_v3Xeon_e3_1285_v3Xeon_e3_1285_v4Xeon_e3_1285_v6Xeon_e3_1285l_v3Xeon_e3_1285l_v4Xeon_e3_1286_v3Xeon_e3_1286l_v3Xeon_e3_1290Xeon_e3_1290_v2Xeon_e3_1501l_v6Xeon_e3_1501m_v6Xeon_e3_1505l_v5Xeon_e3_1505l_v6Xeon_e3_1505m_v5Xeon_e5Xeon_e5_1428lXeon_e5_1428l_v2Xeon_e5_1428l_v3Xeon_e5_1620Xeon_e5_1620_v2Xeon_e5_1620_v3Xeon_e5_1620_v4Xeon_e5_1630_v3Xeon_e5_1630_v4Xeon_e5_1650Xeon_e5_1650_v2Xeon_e5_1650_v3Xeon_e5_1650_v4Xeon_e5_1660Xeon_e5_1660_v2Xeon_e5_1660_v3Xeon_e5_1660_v4Xeon_e5_1680_v3Xeon_e5_1680_v4Xeon_e5_2403Xeon_e5_2403_v2Xeon_e5_2407Xeon_e5_2407_v2Xeon_e5_2408l_v3Xeon_e5_2418lXeon_e5_2418l_v2Xeon_e5_2418l_v3Xeon_e5_2420Xeon_e5_2420_v2Xeon_e5_2428lXeon_e5_2428l_v2Xeon_e5_2428l_v3Xeon_e5_2430Xeon_e5_2430_v2Xeon_e5_2430lXeon_e5_2430l_v2Xeon_e5_2438l_v3Xeon_e5_2440Xeon_e5_2440_v2Xeon_e5_2448lXeon_e5_2448l_v2Xeon_e5_2450Xeon_e5_2450_v2Xeon_e5_2450lXeon_e5_2450l_v2Xeon_e5_2470Xeon_e5_2470_v2Xeon_e5_2603Xeon_e5_2603_v2Xeon_e5_2603_v3Xeon_e5_2603_v4Xeon_e5_2608l_v3Xeon_e5_2608l_v4Xeon_e5_2609Xeon_e5_2609_v2Xeon_e5_2609_v3Xeon_e5_2609_v4Xeon_e5_2618l_v2Xeon_e5_2618l_v3Xeon_e5_2618l_v4Xeon_e5_2620Xeon_e5_2620_v2Xeon_e5_2620_v3Xeon_e5_2620_v4Xeon_e5_2623_v3Xeon_e5_2623_v4Xeon_e5_2628l_v2Xeon_e5_2628l_v3Xeon_e5_2628l_v4Xeon_e5_2630Xeon_e5_2630_v2Xeon_e5_2630_v3Xeon_e5_2630_v4Xeon_e5_2630lXeon_e5_2630l_v2Xeon_e5_2630l_v3Xeon_e5_2630l_v4Xeon_e5_2637Xeon_e5_2637_v2Xeon_e5_2637_v3Xeon_e5_2637_v4Xeon_e5_2640Xeon_e5_2640_v2Xeon_e5_2640_v3Xeon_e5_2640_v4Xeon_e5_2643Xeon_e5_2643_v2Xeon_e5_2643_v3Xeon_e5_2643_v4Xeon_e5_2648lXeon_e5_2648l_v2Xeon_e5_2648l_v3Xeon_e5_2648l_v4Xeon_e5_2650Xeon_e5_2650_v2Xeon_e5_2650_v3Xeon_e5_2650_v4Xeon_e5_2650lXeon_e5_2650l_v2Xeon_e5_2650l_v3Xeon_e7Xeon_goldXeon_platinumXeon_silver
Вектор CVSS
CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N
Хронология
2018-01-01
Опубликована
2018-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.076 · p93
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| intel-microcode | Отслеживается | |
| intel-microcode | Отслеживается | |
| intel-microcode | Отслеживается | |
| intel-microcode | Отслеживается | |
| intel-microcode | Отслеживается | |
| intel-microcode | Отслеживается | |
| atom_c | * | Отслеживается |
| atom_e | * | Отслеживается |
| atom_z | * | Отслеживается |
| celeron_j | * | Отслеживается |
| celeron_n | * | Отслеживается |
| core_i3 | * | Отслеживается |
| core_i5 | * | Отслеживается |
| core_i7 | * | Отслеживается |
| core_m | * | Отслеживается |
| cortex-a | * | Отслеживается |
| pentium | * | Отслеживается |
| pentium_j | * | Отслеживается |
| pentium_silver | * | Отслеживается |
| xeon_e-1105c | * | Отслеживается |
Показаны первые 20 из 205
Источники данных
AST
AST
Бюллетени безопасности Astra Linux
Astra публикует бюллетени для каждого релиза, сопоставляя upstream CVE с собственными репозиториями пакетов, с указанием сроков устранения в привязке к уровню сертификации (SE 1.7, CE 2.12 и т. д.). Необходимый источник для систем, требующих сертификации ФСТЭК/ФСБ.
Регион
Россия
Обновления
24 ч
Лицензия
Открытые данные
Вендорские бюллетени безопасности Astra Linux Special Edition и Common Edition — основной сертифицированной ОС для обороны и критической инфраструктуры РФ.
https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362056 →DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →UBU
UBU
Бюллетени безопасности Ubuntu (USN)
USN являются авторитетным источником для систем Ubuntu. CVE Tracker связывает каждую уязвимость со статусом по релизам (needed, released, not-affected) и с конкретной ошибкой в Launchpad, в которой интегрировано исправление.
Регион
Международно
Обновления
1 ч
Лицензия
CC BY-SA 3.0
Бюллетени безопасности для LTS- и промежуточных релизов Ubuntu: пакеты main, universe и (через Ubuntu Pro) ESM-расширенные.
https://ubuntu.com/security/notices →Связанные уязвимости