КиберосноваSGRC

Уязвимости ОС Аврора: CVE, БДУ ФСТЭК и мониторинг

Уязвимости ОС Аврора из реестра БДУ ФСТЭК: 813 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

813уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости ОС Аврора из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 813.

BDU:2023-06559
Высокий
7.5
KEV
EPSS 100%7дн

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

2023CVE-2023-44487
BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863
BDU:2022-00488
Средний
7.8
KEV
EPSS 95%7дн

Уязвимость библиотеки Polkit и инструмента песочницы Bubblewrap, вызванная переполнением буфера на стеке, позволяющая нарушителю повысить свои привилегии до уровня суперпользователя

2022CVE-2021-4034
BDU:2023-06269
Средний
7.8
KEV
EPSS 81%7дн

Уязвимость динамического загрузчика ld.so библиотеки glibc, позволяющая нарушителю выполнить произвольный код c повышенными привилегиями

2023CVE-2023-4911
BDU:2021-04260
Средний
7.8
KEV
EPSS 79%7дн

Уязвимость функции xt_compat_target_from_user() (net/netfilter/x_tables.c) подсистемы netfilter операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привиле

2021CVE-2021-22555
BDU:2021-05087
Средний
8.8
KEV
EPSS 76%7дн

Уязвимость операционных систем iPadOS, watchOS, iOS, Mac OS, вызванная целочисленным переполнением, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-30860
BDU:2020-01891
Средний
7.8
KEV
EPSS 52%7дн

Уязвимость функции ptrace_link ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии

2020CVE-2019-13272
BDU:2023-06157
Критический
9.6
KEV
EPSS 49%24ч

Уязвимость функции кодирования в формат VP8 библиотеки libvpx браузера Google Chrome, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-5217
BDU:2022-00680
Высокий
8.8
KEV
7дн

Уязвимость функции package_set_ring компонента net/packet/af_packet.c ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии в системе или вызвать отказ в обслуживании

2022CVE-2021-22600
BDU:2022-00737
Средний
7.8
KEV
7дн

Уязвимость функции cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии в системе или вызвать отказ в обслуживании

2022CVE-2022-0492

Почему важно отслеживать уязвимости ОС Аврора

ОС Аврора — российская мобильная операционная система от компании «Открытая мобильная платформа», построенная на ядре Linux и включённая в реестр отечественного ПО. Применяется в госсекторе и на объектах КИИ как основа импортозамещения мобильных устройств. Типовые классы уязвимостей наследуются от Linux-ядра и системных компонентов: использование памяти после освобождения (CWE-416) и запись за границами буфера (CWE-787), а также ошибки в компонентах платформы. Вендор устраняет уязвимости в плановых обновлениях ОС и патчах безопасности. По приказу ФСТЭК №117 критическая уязвимость с CVSS 9.0+ подлежит устранению за 24 часа, уровня 7.0–8.9 — за 7 дней; для значимых объектов КИИ действуют требования приказа №239, для ИСПДн — №21. Автоматизируйте контроль уязвимостей ОС Аврора на SGRC-платформе КиберОснова: сопоставление реестра ИТ-активов с БДУ ФСТЭК и задачи с дедлайнами.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях ОС Аврора

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей ОС Аврора

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости ОС Аврора — CVE и БДУ ФСТЭК | КиберОснова