Уязвимости Debian: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Debian из реестра БДУ ФСТЭК: 17 887 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Debian из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 17 887.
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2015-00353Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2021-00549Уязвимость ядра CMS-системы Drupal, позволяющая нарушителю выполнить произвольный код и перехватить контроль над сайтом
BDU:2021-04903Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист
BDU:2021-06204Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2022-00327Уязвимость библиотеки для обработки метаданных в файлах мультимедиа ExifTool, связанная с неверной нейтрализация особых элементов в выходных данных, позволяющая нарушителю получить доступ к конфиденци
BDU:2019-02827Уязвимость функции deliver_message() (/src/deliver.c) почтового сервера Exim, позволяющая нарушителю выполнить произвольный код
BDU:2021-04904Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
Почему важно отслеживать уязвимости Debian
Debian GNU/Linux — базовый дистрибутив для Astra Linux Special Edition, что делает его уязвимости прямо релевантными для российской ИБ-инфраструктуры. Каждая CVE, зарегистрированная для Debian, потенциально затрагивает Astra Linux — пока вендор не выпустит собственный патч. Debian Security Team выпускает DSA (Debian Security Advisories), которые фиксируются в БДУ ФСТЭК с привязкой к CVE и CWE. Наиболее частые типы: Use After Free (CWE-416), Out-of-bounds Read/Write (CWE-125/787), NULL Pointer Dereference (CWE-476). Мониторинг Debian — косвенный мониторинг безопасности всех Debian-based российских ОС.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Debian
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.