AMD CPU Speculative Execution Race Condition

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.4$0-$5k0.00

Zusammenfassunginfo

Eine kritische Schwachstelle wurde in AMD CPU entdeckt. Es ist betroffen eine unbekannte Funktion der Komponente Speculative Execution. Dank der Manipulation mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2024-2193 vorgenommen. Es gibt keinen verfügbaren Exploit.

Detailsinfo

Es wurde eine Schwachstelle in AMD CPU ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es ein unbekannter Codeteil der Komponente Speculative Execution. Dank Manipulation mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-362 vorgenommen. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

A Speculative Race Condition (SRC) vulnerability that impacts modern CPU architectures supporting speculative execution (related to Spectre V1) has been disclosed. An unauthenticated attacker can exploit this vulnerability to disclose arbitrary data from the CPU using race conditions to access the speculative executable code paths.

Die Schwachstelle wurde durch Hany Ragab, Cristiano Giuffrida, Andrea Mambretti und Anil Kurmus publiziert. Das Advisory findet sich auf kb.cert.org. Die Identifikation der Schwachstelle wird seit dem 05.03.2024 mit CVE-2024-2193 vorgenommen. Sie ist schwierig auszunutzen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 213392 (Debian dsa-5836 : libxen-dev - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (213392) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.

Betroffen

  • AMD CPU
  • Xen
  • Linux Kernel

Produktinfo

Typ

Hersteller

Name

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.4

VulDB Base Score: 3.1
VulDB Temp Score: 3.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.7
CNA Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Race Condition
CWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Teilweise

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 213392
Nessus Name: Debian dsa-5836 : libxen-dev - security update

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

05.03.2024 🔍
15.03.2024 +10 Tage 🔍
15.03.2024 +0 Tage 🔍
26.12.2024 +286 Tage 🔍

Quelleninfo

Advisory: FEDORA-2024-29f57f1b4e
Person: Hany Ragab, Cristiano Giuffrida, Andrea Mambretti, Anil Kurmus
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2024-2193 (🔍)
GCVE (CVE): GCVE-0-2024-2193
GCVE (VulDB): GCVE-100-256983

Eintraginfo

Erstellt: 15.03.2024 20:44
Aktualisierung: 26.12.2024 21:54
Anpassungen: 15.03.2024 20:44 (41), 01.05.2024 09:03 (15), 30.10.2024 00:13 (13), 26.12.2024 21:54 (2)
Komplett: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

 Anonymous User (+0)
vor 2 Jahren
Goodmorning,
This CVE. impacts the major hardware vendors (Intel, AMD, ARM, and IBM) and the Linux kernel. Could You add all the cpes?
Best Regards,
TEAM CERT
 VulDB Community Teamvor 2 Jahren
Thank you for your feedback. This will impact so many items that providing a conclusive CPE list is going to be impossible. In this cases we do not maintain CPEs.

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!