КиберосноваSGRC
BDU:2024-04914
Высокий

BDU:2024-04914: Уязвимость сервера средства криптографической защиты OpenSSH, позволяющая нарушителю выполнить произвольный код

CVSS v39.0
CVSS v27.6
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2024-04914

Описание

Уязвимость сервера средства криптографической защиты OpenSSH связана с повторным использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями

Что делать с BDU:2024-04914

Высокая уязвимость (CVSS 9.0) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.0Критический
Пересчитать →
v2
7.6
Только просмотр
AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HAV:N/AC:H/Au:N/C:C/I:C/A:C

CWE — тип уязвимости

CWE-362

CVE — международный идентификатор

CVE-2024-6387
CWE-362
Состояние гонки

Параллельный доступ к ресурсу без синхронизации. Может привести к повышению привилегий или повреждению данных.

Как атакуют и что делать ▾

Сценарий атаки

Два потока одновременно обращаются к общему ресурсу. TOCTOU: проверка прав → пауза → операция — в паузе атакующий подменяет файл.

Последствия

Повышение привилегий, обход проверок, повреждение данных.

Рекомендации

Используйте атомарные операции, блокировки, транзакции БД. Избегайте TOCTOU-паттернов.

Тактики и техники

Манипулирование сроками и состоянием

Уязвимое ПО (40)

ВендорНазваниеВерсияПлатформа
NetApp Inc.ONTAP Select Deploy-Не указана
Novell Inc.openSUSE Tumbleweed-Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Siemens AGIndustrial Edge Management OS (IEM-OS)-Не указана
Red Hat Inc.Red Hat OpenShift Container Platform4Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Canonical Ltd.Ubuntu22.10Не указана
Amazon.com Inc.Amazon Linux2023Не указана
FreeBSD ProjectFreeBSD14.0 beta5Не указана
FreeBSD ProjectFreeBSD14.0 rc3Не указана
FreeBSD ProjectFreeBSD14.0 rc4-p1Не указана
Novell Inc.SUSE Liberty Linux9Не указана
NetApp Inc.ONTAP Tools for VMware vSphere9Не указана
Novell Inc.Suse Linux Enterprise Desktop15 SP6Не указана
Novell Inc.Suse Linux Enterprise Server15 SP6Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP6Не указана
Novell Inc.SUSE Linux Enterprise High Performance Computing15 SP6Не указана
Novell Inc.SUSE Linux Enterprise Module for Basesystem15 SP6Не указана
Novell Inc.OpenSUSE Leap15.6Не указана
Novell Inc.SUSE Linux Enterprise Module for Desktop Applications15 SP6Не указана
Red Hat Inc.Red Hat Enterprise Linux EUS9.2Не указана
Canonical Ltd.Ubuntu23.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux Server Update Services for SAP Solutions9.0Не указана
NetApp Inc.E-Series SANtricity OS Controller Software 11.xот 11.0.0 до 11.70.2 включительноНе указана
The NetBSD ProjectNetBSDдо 10.0.0 включительноНе указана
FreeBSD ProjectFreeBSDот 13.2 до 13.2 p11 включительноНе указана
FreeBSD ProjectFreeBSDот 13.3 до 13.3 p3 включительноНе указана
FreeBSD ProjectFreeBSDот 14.0 до 14.0 p7 включительноНе указана
FreeBSD ProjectFreeBSD14.1Не указана
FreeBSD ProjectFreeBSD14.1 p1Не указана
OpenBSD ProjectOpenSSHдо 4.4Не указана
OpenBSD ProjectOpenSSH8.5 p1Не указана
OpenBSD ProjectOpenSSHот 8.6 до 9.8Не указана
Moxa Inc.EDR-8010до 3.12Не указана
Moxa Inc.EDR-G9010до 3.12Не указана
Moxa Inc.OnCell G4302-LTE4до 3.12Не указана
Siemens AGSINUMERIK ONEдо 6.24Не указана
Siemens AGSINEMA Remote Connect Serverдо 3.2 SP2Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана

Среды функционирования (28)

ВендорНазваниеВерсияПлатформа
Novell Inc.openSUSE Tumbleweed-Не указана
Сообщество свободного программного обеспеченияDebian GNU/Linux12Не указана
Canonical Ltd.Ubuntu22.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux9Не указана
Canonical Ltd.Ubuntu22.10Не указана
Amazon.com Inc.Amazon Linux2023Не указана
FreeBSD ProjectFreeBSD14.0 beta5Не указана
FreeBSD ProjectFreeBSD14.0 rc3Не указана
FreeBSD ProjectFreeBSD14.0 rc4-p1Не указана
Novell Inc.SUSE Liberty Linux9Не указана
Novell Inc.Suse Linux Enterprise Desktop15 SP6Не указана
Novell Inc.Suse Linux Enterprise Server15 SP6Не указана
Novell Inc.SUSE Linux Enterprise Server for SAP Applications15 SP6Не указана
Novell Inc.OpenSUSE Leap15.6Не указана
FreeBSD ProjectFreeBSDдо 14.1Не указана
FreeBSD ProjectFreeBSDдо 14.0Не указана
FreeBSD ProjectFreeBSDдо 13.3Не указана
FreeBSD ProjectFreeBSDдо 13.2Не указана
Red Hat Inc.Red Hat Enterprise Linux EUS9.2Не указана
Canonical Ltd.Ubuntu23.04 LTSНе указана
Red Hat Inc.Red Hat Enterprise Linux Server Update Services for SAP Solutions9.0Не указана
The NetBSD ProjectNetBSDдо 10.0.0 включительноНе указана
FreeBSD ProjectFreeBSDот 13.2 до 13.2 p11 включительноНе указана
FreeBSD ProjectFreeBSDот 13.3 до 13.3 p3 включительноНе указана
FreeBSD ProjectFreeBSDот 14.0 до 14.0 p7 включительноНе указана
FreeBSD ProjectFreeBSD14.1Не указана
FreeBSD ProjectFreeBSD14.1 p1Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана

Рекомендации по устранению

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - для ограничения возможности эксплуатации в sshd_config выставить параметр «LoginGraceTime=0»; - установить для LoginGraceTime значение 0 в /etc/ssh/sshd_config и перезапустить sshd; - использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа. Использование рекомендаций производителя: Для FreeBSD: https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04.openssh.asc Для OpenSSH: https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041430.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-6387 Для Ubuntu: https://ubuntu.com/security/CVE-2024-6387 Для Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-6387 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-6387.html Для программных продуктов Siemens AG: https://cert-portal.siemens.com/productcert/html/ssa-446545.html Для ОС Astra Linux Special Edition 1.8: обновить пакет openssh до 1:9.6p1-2~deb10u1astra8se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Источники (1)

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.0

Уточните SLA под вашу среду

Базовый балл 9.0 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации46.7%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2024-07-01

Опубликована

2024-07-01

Обновлена

2025-04-23

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2024-6387 MITRE: CWE-362 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-02403
Средний
7.4

Уязвимость сервера telnetd пакета сетевых программ inetutils, позволяющая нарушителю повысить свои привилегии до уровня

BDU:2026-01726
Средний
4.3

Уязвимость функции обработки типов данных oidvector системы управления базами данных PostgreSQL, позволяющая нарушителю

BDU:2026-01722
Высокий
8.8

Уязвимость компонента pgcrypto системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольны

BDU:2026-01723
Высокий
8.8

Уязвимость системы управления базами данных PostgreSQL, связанная с неверным индексированием массива, позволяющая наруши

BDU:2026-01727
Высокий
8.8

Уязвимость функции оценки избирательности расширения Intarray системы управления базами данных PostgreSQL, позволяющая н

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0