КиберосноваSGRC

Уязвимости OpenSSL: CVE, БДУ ФСТЭК и мониторинг

Уязвимости OpenSSL из реестра БДУ ФСТЭК: 175 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

175уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости OpenSSL из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 175.

BDU:2015-00642
Средний
EPSS 100%

Уязвимость программного обеспечения OpenSSL, позволяющая удаленному злоумышленнику нарушить конфиденциальность защищаемой информации

2016CVE-2014-3566
BDU:2015-00643
Средний
EPSS 100%

Уязвимость программного обеспечения OpenSSL, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации

2016CVE-2014-0195
BDU:2015-11042
Средний
3.7EPSS 100%План.

Уязвимость библиотеки OpenSSL, позволяющая нарушителю проводить атаки, направленные на снижение стойкости алгоритма шифрования

2015CVE-2015-4000
BDU:2022-04039
Критический
9.8EPSS 96%24ч

Уязвимость функции модульного возведения в степень Монтгомери с постоянным временем библиотек OpenSSL и BoringSSL, позволяющая нарушителю выполнить произвольный код

2022CVE-2022-2068
BDU:2022-06609
Высокий
8.1EPSS 91%7дн

Уязвимость функционала проверки сертификата X.509 библиотеки OpenSSL, позволяющая нарушителю аварийно завершить работу приложения

2022CVE-2022-3786
BDU:2022-06608
Критический
9.8EPSS 90%24ч

Уязвимость функционала проверки сертификата X.509 библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код

2022CVE-2022-3602
BDU:2021-04570
Критический
9.8EPSS 88%24ч

Уязвимость реализации криптографического алгоритма SM2 библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-3711
BDU:2016-00666
Низкий
EPSS 84%

Уязвимость библиотеки OpenSSL, позволяющая нарушителю получить закрытый ключ

2016CVE-2016-0701
BDU:2022-03181
Высокий
8.1EPSS 83%7дн

Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды

2022CVE-2022-1292
BDU:2016-00661
Средний
EPSS 82%

Уязвимость библиотеки OpenSSL, позволяющая нарушителю расшифровать передаваемые данные

2016CVE-2016-0800

Почему важно отслеживать уязвимости OpenSSL

OpenSSL — криптографическая библиотека, которая обеспечивает TLS-шифрование для веб-серверов, VPN, почтовых серверов и тысяч других приложений. Уязвимость в OpenSSL затрагивает всю инфраструктуру: Heartbleed (CVE-2014-0160) позволяла читать память сервера, включая приватные ключи. Современные CVE OpenSSL: переполнение буфера при обработке сертификатов, DoS через бесконечные циклы, утечка данных через timing-атаки. OpenSSL используется в составе nginx, Apache, HAProxy, PostgreSQL и большинства Linux-приложений — каждая CVE потенциально затрагивает десятки сервисов в одной организации.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Автоматизируйте мониторинг уязвимостей OpenSSL

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.