КиберосноваSGRC

Уязвимости ОСОН ОСнова Оnyx: CVE, БДУ ФСТЭК и мониторинг

Уязвимости ОСОН ОСнова Оnyx из реестра БДУ ФСТЭК: 9 121 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

9 121уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости ОСОН ОСнова Оnyx из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 9 121.

BDU:2021-05969
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2021-04820
Высокий
9.8
KEV
EPSS 100%24ч

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку

2021CVE-2021-40438
BDU:2023-06559
Высокий
7.5
KEV
EPSS 100%7дн

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

2023CVE-2023-44487
BDU:2021-04903
Высокий
8.1
KEV
EPSS 100%7дн

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист

2021CVE-2021-41773
BDU:2021-06204
Высокий
9.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-45046
BDU:2022-00327
Средний
7.8
KEV
EPSS 100%7дн

Уязвимость библиотеки для обработки метаданных в файлах мультимедиа ExifTool, связанная с неверной нейтрализация особых элементов в выходных данных, позволяющая нарушителю получить доступ к конфиденци

2022CVE-2021-22204
BDU:2021-04904
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-42013
BDU:2024-04936
Высокий
9.1
KEV
EPSS 100%24ч

Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

2024CVE-2024-38475
BDU:2025-02511
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость сервера приложений Apache Tomcat, связанная с принятием входных данных пути в виде внутренней точки без проверки, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф

2025CVE-2025-24813
BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863

Почему важно отслеживать уязвимости ОСОН ОСнова Оnyx

ОСОН ОСнова Оnyx — защищённая операционная система от АО «НППКТ» на базе Debian, ориентированная не на десктоп, а на встраиваемые системы, АСУ ТП, спецтехнику и объекты КИИ. Отличие ОСОН — сертификаты ФСТЭК высоких классов защиты, замкнутая программная среда и контроль целостности: запуск разрешён только доверенному ПО. Уязвимости складываются из двух источников: наследие Debian-базы (ядро Linux и системные библиотеки — CWE-416, CWE-787) и собственные средства защиты, ошибки в которых особенно критичны, так как подрывают замкнутую среду и КЦ. НППКТ устраняет их в плановых обновлениях и бюллетенях безопасности. Для АСУ ТП действует приказ ФСТЭК №31, для значимых объектов КИИ — №239, а приказ №117 задаёт SLA: CVSS 9.0+ — 24 часа, 7.0–8.9 — 7 дней. Автоматизируйте мониторинг уязвимостей ОСОН на SGRC-платформе КиберОснова: сопоставление реестра активов с БДУ ФСТЭК и задачи с дедлайнами.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях ОСОН ОСнова Оnyx

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей ОСОН ОСнова Оnyx

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.