КиберосноваSGRC
BDU:2023-07597
Высокий
Эксплойт

BDU:2023-07597: Уязвимость компонента проверки устанавливаемых пакетов операционной системы «Аврора», позволяющая нарушителю выполнить код с повышенными привилегиями

CVSS v38.6
CVSS v27.2
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2023-07597

Описание

Уязвимость компонента проверки устанавливаемых пакетов операционной системы «Аврора» связана с недостатками контроля параметров устанавливаемых пакетов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями с помощью специально сформированного пакета

Что делать с BDU:2023-07597

Высокая уязвимость (CVSS 8.6) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

⚠ Для этой уязвимости существует публичный эксплойт — риск активной эксплуатации повышен. Устраните в первую очередь.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
8.6Высокий
Пересчитать →
v2
7.2
Только просмотр
AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HAV:L/AC:L/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CWE-184
CWE-250

Тактики и техники

Манипулирование структурами данных

Уязвимое ПО (4)

ВендорНазваниеВерсияПлатформа
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноAquarius CMP NS220
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноByterg MVK-2020
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноF+ Life Tab Plus
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноMashtab TrustPhone T1

Среды функционирования (5)

ВендорНазваниеВерсияПлатформа
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноНе указана
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноAquarius CMP NS220
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноByterg MVK-2020
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноF+ Life Tab Plus
ООО «Открытая мобильная платформа»ОС Аврорадо 4.0.2.249 включительноMashtab TrustPhone T1

Рекомендации по устранению

Использование рекомендаций: https://cve.omp.ru/bb23402

Источники (1)

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 8.6

Уточните SLA под вашу среду

Базовый балл 8.6 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

Информация

Обнаружена

2023-10-11

Опубликована

2023-11-11

Обновлена

2023-11-30

Эксплойт

Существует

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК MITRE: CWE-184 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-16115
Высокий
8.2

Уязвимость механизма синхронизации приложения "Календарь" операционной системы Аврора, позволяющая нарушителю получить н

BDU:2025-05682
Средний
7.8

Уязвимость функции dlopen() системной библиотеки glibc, позволяющая нарушителю выполнить произвольный код

BDU:2025-04690
Высокий
9.0

Уязвимость функции ns_resolv() диспетчера соединений ConnMan, позволяющая нарушителю выполнить произвольный код или вызв

BDU:2025-10273
Высокий
8.0

Уязвимость функции proc_get_inode() ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код

BDU:2025-06301
Средний
7.8

Уязвимость компонента usb ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0