КиберосноваSGRC
BDU:2021-03095
Низкий

BDU:2021-03095: Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11, позволяющая нарушителю внедрить произвольные сетевые пакеты и/или оказать воздействие на целостность защищаемой информации

CVSS v33.5
CVSS v22.9
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2021-03095

Описание

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 набора стандартов связи для коммуникации IEEE 802.11 существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные сетевые пакеты и/или оказать воздействие на целостность защищаемой информации при помощи специально сформированных фрагментированных кадров, зашифрованных с использованием WEP, CCMP или GCMP

Что делать с BDU:2021-03095

Низкая уязвимость (CVSS 3.5) — устраните при плановом обновлении. Если уязвимый компонент не используется в критичных системах, риск минимален.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
3.5Низкий
Пересчитать →
v2
2.9
Только просмотр
AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:NAV:A/AC:M/Au:N/C:P/I:N/A:N

CWE — тип уязвимости

CWE-20

CVE — международный идентификатор

CVE-2020-24586
CWE-20
Недостаточная проверка ввода

Программа не проверяет или неправильно проверяет входные данные. Базовая причина большинства инъекций и переполнений.

Как атакуют и что делать ▾

Сценарий атаки

Атакующий отправляет неожиданный ввод: отрицательные числа, спецсимволы, сверхдлинные строки — программа обрабатывает их без проверки.

Последствия

Базовая причина большинства инъекций, переполнений и логических ошибок.

Рекомендации

Валидируйте все входные данные по white-list, ограничивайте длину, тип и диапазон значений.

Тактики и техники

Несанкционированный сбор информации
Злоупотребление функционалом

Уязвимое ПО (53)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux8.0Не указана
Cisco Systems Inc.Cisco IP Conference Phone 883212.8(1)SR1Не указана
Cisco Systems Inc.Cisco IP Phone 6861 with Multiplatform11.3(3)Не указана
Cisco Systems Inc.Cisco IP Phone 886512.8(1)SR1Не указана
Cisco Systems Inc.Cisco IP Phone 8861 Running Third-Party Call Control (3PCC) Software11.3(4)Не указана
Cisco Systems Inc.Cisco IP Phone 882111.0(6)SR1Не указана
Cisco Systems Inc.Webex Room9.15.2-RoomOS_March_2021Не указана
Cisco Systems Inc.Webex Room10.2.1-RoomOS_March_2021Не указана
Cisco Systems Inc.Webex Desk9.15.0.11Не указана
Cisco Systems Inc.Webex Board10.3.1-RoomOS_April_2021Не указана
Cisco Systems Inc.Webex Wireless Phone 8601.1(0)Не указана
Cisco Systems Inc.Webex Wireless Phone 8401.1(0)Не указана
Cisco Systems Inc.Cisco Aironet 1560ap-17.3.4.15Не указана
Cisco Systems Inc.Cisco Aironet 2800ap-17.3.4.15Не указана
Cisco Systems Inc.Cisco Aironet 3800ap-17.3.4.15Не указана
Cisco Systems Inc.Cisco Aironet 4800ap-17.3.4.15Не указана
Cisco Systems Inc.Catalyst IW 6300ap-17.3.4.15Не указана
Cisco Systems Inc.Aironet 1542ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1810ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1815ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1832ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1842ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1852ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 1800iap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9117ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9124ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9130ap-17.6.0.31Не указана
Cisco Systems Inc.Aironet 15528.10(158.64)Не указана
Cisco Systems Inc.Aironet 1552ap-17.6.0.97Не указана
Cisco Systems Inc.Aironet 1552H8.10(158.64)Не указана
Cisco Systems Inc.Aironet 15728.10(158.64)Не указана
Cisco Systems Inc.Aironet 1572ap-17.6.0.97Не указана
Cisco Systems Inc.Aironet 1702ap-17.6.0.97Не указана
Cisco Systems Inc.Aironet 17028.10(158.64)Не указана
Cisco Systems Inc.Aironet 27028.10(158.64)Не указана
Cisco Systems Inc.Aironet 2702ap-17.6.0.97Не указана
Cisco Systems Inc.Aironet 3702ap-17.6.0.97Не указана
Cisco Systems Inc.Aironet 37028.10(158.64)Не указана
Cisco Systems Inc.IW 37028.10(158.64)Не указана
Cisco Systems Inc.IW 3702ap-17.6.0.97Не указана
Cisco Systems Inc.Catalyst 9100ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9115 Wi-Fi 6ap-17.6.0.31Не указана
Cisco Systems Inc.Catalyst 9120ap-17.6.0.31Не указана
Cisco Systems Inc.Integrated AP on 1100 Integrated Services Routersap-17.6.0.31Не указана
АО «ИВК»Альт 8 СП-Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.4Не указана
Сообщество свободного программного обеспеченияLinuxот 4.0 до 4.4.270 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.5 до 4.9.270 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.10 до 4.14.234 включительноНе указана
Сообщество свободного программного обеспеченияLinuxот 4.20 до 5.4.123 включительноНе указана

Показано 50 из 53

Среды функционирования (2)

ВендорНазваниеВерсияПлатформа
Red Hat Inc.Red Hat Enterprise Linux8.0Не указана
АО «ИВК»Альт 8 СП-Не указана

Рекомендации по устранению

Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.235 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.193 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.271 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.271 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.42 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.9 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.124 Для программных продуктов Cisco Systems Inc.: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-faf-22epcEWu Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2020-24586 Для ОСОН Основа: Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Источники (1)

SLA ФСТЭК №117

90 дней

по базовой оценке CVSS 3.5

Уточните SLA под вашу среду

Базовый балл 3.5 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации1.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2021-05-10

Опубликована

2021-06-18

Обновлена

2024-09-16

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2020-24586 MITRE: CWE-20 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-04594
Низкий
4.7

Уязвимость микропрограммного обеспечения маршрутизаторов с интегрированными сетевыми сервисами Cisco ISR 800 и Cisco ISR

BDU:2021-02664
Низкий
5.3

Уязвимость реализации протокола Extensible Authentication Protocol over LAN (EAPOL) операционной системы NetBSD, позволя

BDU:2021-03175
Низкий
6.5

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 ядра операционной системы Linux, позволяющая нарушителю внедрить

BDU:2021-03176
Низкий
5.3

Уязвимость реализации алгоритмов WEP, WPA, WPA2 и WPA3 ядра операционной системы Linux, позволяющая нарушителю оказать в

BDU:2021-02663
Низкий
3.5

Уязвимость набора стандартов связи для коммуникации IEEE 802.11 операционной системы Windows, позволяющая нарушителю вне

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0