КиберосноваSGRC

Уязвимости Fedora: CVE, БДУ ФСТЭК и мониторинг

Уязвимости Fedora из реестра БДУ ФСТЭК: 2 544 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

2 544уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Fedora из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 2 544.

BDU:2021-04820
Высокий
9.8
KEV
EPSS 100%24ч

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку

2021CVE-2021-40438
BDU:2023-06559
Высокий
7.5
KEV
EPSS 100%7дн

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

2023CVE-2023-44487
BDU:2021-04903
Высокий
8.1
KEV
EPSS 100%7дн

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист

2021CVE-2021-41773
BDU:2021-04904
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-42013
BDU:2023-01019
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость веб-инструмента представления данных Grafana, связанная с недостатками процедуры аутентификации, позволяющая нарушителю доступ к защищаемой информации, вызвать отказ в обслуживании или повы

2023CVE-2021-39226
BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863
BDU:2021-01903
Высокий
9.8
KEV
EPSS 100%24ч

Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с отсутствием мер по нейтрализации специальных элементов, позволяющая нарушителю получить доступ к конфиде

2021CVE-2020-16846
BDU:2020-04016
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость реализации протокола Netlogon Remote Protocol (MS-NRPC) операционных систем Windows, позволяющая нарушителю повысить свои привилегии

2020CVE-2020-1472
BDU:2020-00013
Высокий
8.7
KEV
EPSS 99%7дн

Уязвимость компонента sapi/fpm/fpm/fpm_main.c расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды

2020CVE-2019-11043
BDU:2021-00364
Высокий
7.8
KEV
EPSS 99%7дн

Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root

2021CVE-2021-3156

Почему важно отслеживать уязвимости Fedora

Fedora — bleeding-edge дистрибутив под управлением сообщества Fedora Project при спонсорстве Red Hat (IBM). Именно Fedora служит upstream-полигоном для RHEL: свежайшие версии ядра Linux, glibc, systemd, GNOME и compiler-тулчейна попадают сюда первыми, за 6–18 месяцев до корпоративных релизов. Отсюда специфика уязвимостей: новые компоненты не успевают пройти длительную обкатку, поэтому CVE для Fedora регистрируются в БДУ ФСТЭК раньше, чем для стабильных ОС — Use After Free (CWE-416), Out-of-bounds Write (CWE-787), уязвимости systemd и Wayland. Цикл выпуска короткий: релиз каждые ~6 месяцев, поддержка версии всего ~13 месяцев, обновления безопасности выходят почти ежедневно через bodhi/dnf. В РФ Fedora редко в проде, но критична как ранний индикатор будущих уязвимостей RHEL и российских RPM-форков (РЕД ОС, РОСА). Для ИСПДн и ГИС приказы ФСТЭК №21 и №117 требуют устранения CVSS 9.0+ за 24 часа, 7.0–8.9 — за 7 дней. SGRC-платформа КиберОснова сопоставляет реестр активов с БДУ ФСТЭК и ставит задачи с дедлайнами автоматически.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях Fedora

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей Fedora

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.