Уязвимости OpenSSL: CVE, БДУ ФСТЭК и мониторинг
Уязвимости OpenSSL из реестра БДУ ФСТЭК: 175 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости OpenSSL из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 175.
BDU:2015-00642Уязвимость программного обеспечения OpenSSL, позволяющая удаленному злоумышленнику нарушить конфиденциальность защищаемой информации
BDU:2015-00643Уязвимость программного обеспечения OpenSSL, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-11042Уязвимость библиотеки OpenSSL, позволяющая нарушителю проводить атаки, направленные на снижение стойкости алгоритма шифрования
BDU:2022-04039Уязвимость функции модульного возведения в степень Монтгомери с постоянным временем библиотек OpenSSL и BoringSSL, позволяющая нарушителю выполнить произвольный код
BDU:2022-06609Уязвимость функционала проверки сертификата X.509 библиотеки OpenSSL, позволяющая нарушителю аварийно завершить работу приложения
BDU:2022-06608Уязвимость функционала проверки сертификата X.509 библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код
BDU:2021-04570Уязвимость реализации криптографического алгоритма SM2 библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код
BDU:2016-00666Уязвимость библиотеки OpenSSL, позволяющая нарушителю получить закрытый ключ
BDU:2022-03181Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды
BDU:2016-00661Уязвимость библиотеки OpenSSL, позволяющая нарушителю расшифровать передаваемые данные
Почему важно отслеживать уязвимости OpenSSL
OpenSSL — криптографическая библиотека, которая обеспечивает TLS-шифрование для веб-серверов, VPN, почтовых серверов и тысяч других приложений. Уязвимость в OpenSSL затрагивает всю инфраструктуру: Heartbleed (CVE-2014-0160) позволяла читать память сервера, включая приватные ключи. Современные CVE OpenSSL: переполнение буфера при обработке сертификатов, DoS через бесконечные циклы, утечка данных через timing-атаки. OpenSSL используется в составе nginx, Apache, HAProxy, PostgreSQL и большинства Linux-приложений — каждая CVE потенциально затрагивает десятки сервисов в одной организации.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей OpenSSL
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.