Уязвимости CentOS: CVE, БДУ ФСТЭК и мониторинг
Уязвимости CentOS из реестра БДУ ФСТЭК: 1 044 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости CentOS из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 1 044.
BDU:2023-00039Уязвимость реализации сценария login/index.php приложения для управления серверами CentOS Web Panel, позволяющая нарушителю выполнить произвольные команды
BDU:2015-09251Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09245Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09247Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09249Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09250Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09252Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09248Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09246Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-09253Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
Почему важно отслеживать уязвимости CentOS
CentOS — свободный дистрибутив Linux от сообщества The CentOS Project, двоично совместимый с Red Hat Enterprise Linux и годами доминировавший в веб-хостинге РФ: панели управления, LAMP-стек и арендованные серверы массово работают именно на нём. Ключевая проблема — жизненный цикл: CentOS Linux 8 достиг EOL в конце 2021 года, CentOS 7 — в середине 2024-го, и на этих версиях патчи безопасности больше не выходят. Незакрытые CVE накапливаются: use-after-free (CWE-416) и запись за границами буфера (CWE-787) в ядре, а также уязвимости веб-стека (httpd, OpenSSL, PHP), открытые прямо в интернет, дают удалённое выполнение кода. Обновления сегодня идут только через CentOS Stream (rolling upstream RHEL) или миграцию на отечественные форки. По приказу ФСТЭК №117 уязвимость CVSS 9.0+ устраняется за 24 часа, 7.0–8.9 — за 7 дней; для КИИ применяется приказ №239, для ИСПДн — №21. Платформа SGRC КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и заводит задачу на устранение или миграцию с дедлайном по SLA.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей CentOS
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.