Уязвимости ОСОН ОСнова Оnyx: CVE, БДУ ФСТЭК и мониторинг
Уязвимости ОСОН ОСнова Оnyx из реестра БДУ ФСТЭК: 9 121 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости ОСОН ОСнова Оnyx из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 9 121.
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2021-04820Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2021-04903Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист
BDU:2021-06204Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2022-00327Уязвимость библиотеки для обработки метаданных в файлах мультимедиа ExifTool, связанная с неверной нейтрализация особых элементов в выходных данных, позволяющая нарушителю получить доступ к конфиденци
BDU:2021-04904Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код
BDU:2024-04936Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код
BDU:2025-02511Уязвимость сервера приложений Apache Tomcat, связанная с принятием входных данных пути в виде внутренней точки без проверки, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
Почему важно отслеживать уязвимости ОСОН ОСнова Оnyx
ОСОН ОСнова Оnyx — защищённая операционная система от АО «НППКТ» на базе Debian, ориентированная не на десктоп, а на встраиваемые системы, АСУ ТП, спецтехнику и объекты КИИ. Отличие ОСОН — сертификаты ФСТЭК высоких классов защиты, замкнутая программная среда и контроль целостности: запуск разрешён только доверенному ПО. Уязвимости складываются из двух источников: наследие Debian-базы (ядро Linux и системные библиотеки — CWE-416, CWE-787) и собственные средства защиты, ошибки в которых особенно критичны, так как подрывают замкнутую среду и КЦ. НППКТ устраняет их в плановых обновлениях и бюллетенях безопасности. Для АСУ ТП действует приказ ФСТЭК №31, для значимых объектов КИИ — №239, а приказ №117 задаёт SLA: CVSS 9.0+ — 24 часа, 7.0–8.9 — 7 дней. Автоматизируйте мониторинг уязвимостей ОСОН на SGRC-платформе КиберОснова: сопоставление реестра активов с БДУ ФСТЭК и задачи с дедлайнами.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей ОСОН ОСнова Оnyx
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.