КиберосноваSGRC
BDU:2021-02664
Низкий

BDU:2021-02664: Уязвимость реализации протокола Extensible Authentication Protocol over LAN (EAPOL) операционной системы NetBSD, позволяющая нарушителю вызвать отказ в обслуживании

CVSS v35.3
CVSS v22.9
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2021-02664

Описание

Уязвимость реализации протокола Extensible Authentication Protocol over LAN (EAPOL) операционной системы NetBSD связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Что делать с BDU:2021-02664

Низкая уязвимость (CVSS 5.3) — устраните при плановом обновлении. Если уязвимый компонент не используется в критичных системах, риск минимален.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.3Средний
Пересчитать →
v2
2.9
Только просмотр
AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:HAV:A/AC:M/Au:N/C:N/I:N/A:P

CWE — тип уязвимости

CWE-287

CVE — международный идентификатор

CVE-2020-26139
CWE-287
Некорректная аутентификация

Механизм аутентификации можно обойти или он неправильно реализован. Позволяет несанкционированный доступ.

Как атакуют и что делать ▾

Сценарий атаки

Механизм аутентификации обходится: SQL-инъекция в логине, предсказуемые токены, отсутствие проверки подписи JWT.

Последствия

Полный несанкционированный доступ к системе под любой учётной записью.

Рекомендации

Используйте проверенные библиотеки аутентификации, MFA, не изобретайте свою криптографию.

Тактики и техники

Нарушение аутентификации

Уязвимое ПО (30)

ВендорНазваниеВерсияПлатформа
Cisco Systems Inc.Cisco IP Conference Phone 883212.8(1)SR1Не указана
Cisco Systems Inc.Cisco IP Phone 6861 with Multiplatform11.3(3)Не указана
Cisco Systems Inc.Cisco IP Phone 886512.8(1)SR1Не указана
Cisco Systems Inc.Cisco IP Phone 8861 Running Third-Party Call Control (3PCC) Software11.3(4)Не указана
Cisco Systems Inc.Cisco IP Phone 882111.0(6)SR1Не указана
Cisco Systems Inc.Webex Room9.15.2-RoomOS_March_2021Не указана
Cisco Systems Inc.Webex Room10.2.1-RoomOS_March_2021Не указана
Cisco Systems Inc.Webex Desk9.15.0.11Не указана
Cisco Systems Inc.Webex Board10.3.1-RoomOS_April_2021Не указана
Cisco Systems Inc.Webex Wireless Phone 8601.1(0)Не указана
Cisco Systems Inc.Webex Wireless Phone 8401.1(0)Не указана
The NetBSD ProjectNetBSD7.1Не указана
Cisco Systems Inc.Aironet 1542ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1810ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1815ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1832ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1842ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1852ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1800iap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9117ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9124ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9130ap-17.6.0.31Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.4Не указана
Сообщество свободного программного обеспеченияLinuxот 4.0 до 4.4.270 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.5 до 4.9.270 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.10 до 4.14.234 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.20 до 5.4.123 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.5 до 5.10.41 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.15 до 4.19.192 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 5.11 до 5.12.8 включительноНе указана

Среды функционирования (1)

ВендорНазваниеВерсияПлатформа
The NetBSD ProjectNetBSD7.1Не указана

Рекомендации по устранению

Использование рекомендаций: Обновление операционной системы NetBSD до актуальной версии Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.235 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.193 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.271 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.271 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.42 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.9 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.124 Для программных продуктов Cisco Systems Inc.: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-faf-22epcEWu Для ОСОН Основа: Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.3

Уточните SLA под вашу среду

Базовый балл 5.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации1.1%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2021-05-11

Опубликована

2021-05-24

Обновлена

2024-06-05

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2020-26139 MITRE: CWE-287 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2021-03175
Низкий
6.5

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 ядра операционной системы Linux, позволяющая нарушителю внедрить

BDU:2021-03176
Низкий
5.3

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 ядра операционной системы Linux, позволяющая нарушителю оказать в

BDU:2021-02663
Низкий
3.5

Уязвимость набора стандартов связи для коммуникации IEEE 802.11 операционной системы Windows, позволяющая нарушителю вне

BDU:2021-03088
Низкий
2.6

Уязвимость реализации алгоритмов WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11, позволяющая нару

BDU:2021-03095
Низкий
3.5

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11, позволяющая

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0