КиберосноваSGRC
BDU:2024-06671
Высокий

BDU:2024-06671: Уязвимость инструмента для управления приложениями и средами Flatpak, связанная с неправильной нейтрализацией специальных элементов на выходе, используемых нижестоящим компонентом, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

CVSS v310.0
CVSS v29.4
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2024-06671

Описание

Уязвимость инструмента для управления приложениями и средами Flatpak связана с неправильной нейтрализацией специальных элементов на выходе, используемых нижестоящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Что делать с BDU:2024-06671

Высокая уязвимость (CVSS 10.0) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
10.0Критический
Пересчитать →
v2
9.4
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NAV:N/AC:L/Au:N/C:C/I:C/A:N

CWE — тип уязвимости

CWE-74

CVE — международный идентификатор

CVE-2024-42472

Тактики и техники

Инъекция

Уязвимое ПО (9)

ВендорНазваниеВерсияПлатформа
ООО «Ред Софт»РЕД ОС7.3Не указана
АО "НТЦ ИТ РОСА"РОСА Кобальт7.9Не указана
АО "НТЦ ИТ РОСА"ROSA Virtualization2.1Не указана
Сообщество свободного программного обеспеченияFlatpakот 1.14.0 до 1.14.10Не указана
Сообщество свободного программного обеспеченияFlatpakот 1.15.0 до 1.15.10Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана
АО "НТЦ ИТ РОСА"ROSA Virtualization 3.03.0Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.14Не указана
ООО «НЦПР»МСВСфера9.5Не указана

Среды функционирования (7)

ВендорНазваниеВерсияПлатформа
ООО «Ред Софт»РЕД ОС7.3Не указана
АО "НТЦ ИТ РОСА"РОСА Кобальт7.9Не указана
АО "НТЦ ИТ РОСА"ROSA Virtualization2.1Не указана
ООО «РусБИТех-Астра»Astra Linux Special Edition1.8Не указана
АО "НТЦ ИТ РОСА"ROSA Virtualization 3.03.0Не указана
АО "НППКТ"ОСОН ОСнова Оnyxдо 2.14Не указана
ООО «НЦПР»МСВСфера9.5Не указана

Рекомендации по устранению

Для flatpak: https://github.com/containers/bubblewrap/commit/68e75c3091c87583c28a439b45c45627a94d622c https://github.com/containers/bubblewrap/commit/a253257cd298892da43e15201d83f9a02c9b58b5 https://github.com/flatpak/flatpak/commit/2cdd1e1e5ae90d7c3a4b60ce2e36e4d609e44e72 https://github.com/flatpak/flatpak/commit/3caeb16c31a3ed62d744e2aaf01d684f7991051a https://github.com/flatpak/flatpak/commit/6bd603f6836e9b38b9b937d3b78f3fbf36e7ff75 https://github.com/flatpak/flatpak/commit/7c63e53bb2af0aae9097fd2edfd6a9ba9d453e97 https://github.com/flatpak/flatpak/commit/8a18137d7e80f0575e8defabf677d81e5cc3a788 https://github.com/flatpak/flatpak/commit/db3a785241fda63bf53f0ec12bb519aa5210de19 https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: обновить пакет flatpak до 1.14.10-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508 Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2793 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2837 Обновление программного обеспечения flatpak до версии 1.10.8-0+deb11u3.osnova2u1 Обновление программного обеспечения bubblewrap до версии 0.4.1-3+deb11u1.osnova2u1 Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9449?lang=ru

Источники (1)

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 10.0

Уточните SLA под вашу среду

Базовый балл 10.0 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации6.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2024-08-15

Опубликована

2024-09-04

Обновлена

2025-11-19

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2024-42472 MITRE: CWE-74 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2026-06439
Средний
8.8

Уязвимость компонента xfrm ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии до уровня ro

BDU:2026-06231
Средний
6.2

Уязвимость функции read_line() компонента parser.c системы балансировки сетевого трафика Keepalived, позволяющая нарушит

BDU:2026-06470
Высокий
7.8

Уязвимость модуля RxRPC ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

BDU:2026-06123
Средний
7.8

Уязвимость модуля для реализации AEAD-алгоритмов algif_aead ядра операционной системы Linux, позволяющая нарушителю повы

BDU:2026-05831
Критический
9.3

Уязвимость инструмента для управления приложениями и средами Flatpak, связанная с отслеживанием символьных ссылок UNIX,

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0