КиберосноваSGRC

Уязвимости Debian: CVE, БДУ ФСТЭК и мониторинг

Уязвимости Debian из реестра БДУ ФСТЭК: 17 887 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

17 887уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Debian из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 17 887.

BDU:2021-05969
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2015-00353
Критический
KEV
EPSS 100%

Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации

2016CVE-2014-6271
BDU:2023-06559
Высокий
7.5
KEV
EPSS 100%7дн

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

2023CVE-2023-44487
BDU:2021-00549
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость ядра CMS-системы Drupal, позволяющая нарушителю выполнить произвольный код и перехватить контроль над сайтом

2021CVE-2018-7600
BDU:2021-04903
Высокий
8.1
KEV
EPSS 100%7дн

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист

2021CVE-2021-41773
BDU:2021-06204
Высокий
9.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-45046
BDU:2022-00327
Средний
7.8
KEV
EPSS 100%7дн

Уязвимость библиотеки для обработки метаданных в файлах мультимедиа ExifTool, связанная с неверной нейтрализация особых элементов в выходных данных, позволяющая нарушителю получить доступ к конфиденци

2022CVE-2021-22204
BDU:2019-02827
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость функции deliver_message() (/src/deliver.c) почтового сервера Exim, позволяющая нарушителю выполнить произвольный код

2019CVE-2019-10149
BDU:2021-04904
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-42013
BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863

Почему важно отслеживать уязвимости Debian

Debian GNU/Linux — базовый дистрибутив для Astra Linux Special Edition, что делает его уязвимости прямо релевантными для российской ИБ-инфраструктуры. Каждая CVE, зарегистрированная для Debian, потенциально затрагивает Astra Linux — пока вендор не выпустит собственный патч. Debian Security Team выпускает DSA (Debian Security Advisories), которые фиксируются в БДУ ФСТЭК с привязкой к CVE и CWE. Наиболее частые типы: Use After Free (CWE-416), Out-of-bounds Read/Write (CWE-125/787), NULL Pointer Dereference (CWE-476). Мониторинг Debian — косвенный мониторинг безопасности всех Debian-based российских ОС.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Автоматизируйте мониторинг уязвимостей Debian

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости Debian GNU/Linux — CVE и БДУ ФСТЭК | КиберОснова