Уязвимости Fedora: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Fedora из реестра БДУ ФСТЭК: 2 544 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Fedora из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 2 544.
BDU:2021-04820Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2021-04903Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист
BDU:2021-04904Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код
BDU:2023-01019Уязвимость веб-инструмента представления данных Grafana, связанная с недостатками процедуры аутентификации, позволяющая нарушителю доступ к защищаемой информации, вызвать отказ в обслуживании или повы
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
BDU:2021-01903Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с отсутствием мер по нейтрализации специальных элементов, позволяющая нарушителю получить доступ к конфиде
BDU:2020-04016Уязвимость реализации протокола Netlogon Remote Protocol (MS-NRPC) операционных систем Windows, позволяющая нарушителю повысить свои привилегии
BDU:2020-00013Уязвимость компонента sapi/fpm/fpm/fpm_main.c расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды
BDU:2021-00364Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root
Почему важно отслеживать уязвимости Fedora
Fedora — bleeding-edge дистрибутив под управлением сообщества Fedora Project при спонсорстве Red Hat (IBM). Именно Fedora служит upstream-полигоном для RHEL: свежайшие версии ядра Linux, glibc, systemd, GNOME и compiler-тулчейна попадают сюда первыми, за 6–18 месяцев до корпоративных релизов. Отсюда специфика уязвимостей: новые компоненты не успевают пройти длительную обкатку, поэтому CVE для Fedora регистрируются в БДУ ФСТЭК раньше, чем для стабильных ОС — Use After Free (CWE-416), Out-of-bounds Write (CWE-787), уязвимости systemd и Wayland. Цикл выпуска короткий: релиз каждые ~6 месяцев, поддержка версии всего ~13 месяцев, обновления безопасности выходят почти ежедневно через bodhi/dnf. В РФ Fedora редко в проде, но критична как ранний индикатор будущих уязвимостей RHEL и российских RPM-форков (РЕД ОС, РОСА). Для ИСПДн и ГИС приказы ФСТЭК №21 и №117 требуют устранения CVSS 9.0+ за 24 часа, 7.0–8.9 — за 7 дней. SGRC-платформа КиберОснова сопоставляет реестр активов с БДУ ФСТЭК и ставит задачи с дедлайнами автоматически.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Fedora
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.