Уязвимости Red Hat Enterprise Linux: CVE, БДУ и мониторинг
Уязвимости Red Hat Enterprise Linux из реестра БДУ ФСТЭК: 8 813 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Red Hat Enterprise Linux из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 8 813.
BDU:2021-04820Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2023-01045Уязвимость сервера приложений Apache Tomcat, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю выполнить произвольный код
BDU:2022-06488Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилеги
BDU:2017-01262Уязвимость сетевой файловой системы Samba, позволяющая выполнить произвольный код
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
BDU:2020-00013Уязвимость компонента sapi/fpm/fpm/fpm_main.c расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды
BDU:2022-03304Уязвимость метода getMBeanInstantiator в классе JmxMBeanServer программной платформы Java Runtime Environment, позволяющая нарушителю выполнить произвольный код
BDU:2022-04096Уязвимость реализации класса AtomicReferenceArray компонента Concurrency программной платформы Java Runtime Environment, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-03369Уязвимость программной платформы Microsoft .NET Framework, средства разработки программного обеспечения Microsoft Visual Studio, пакетов программ Microsoft SharePoint Server и Microsoft SharePoint Ent
Почему важно отслеживать уязвимости Red Hat Enterprise Linux
Red Hat Enterprise Linux (RHEL) — коммерческий дистрибутив, на котором основаны CentOS, Rocky Linux, Oracle Linux и частично РЕД ОС. Red Hat публикует RHSA (Red Hat Security Advisories) с привязкой к CVE, которые фиксируются в БДУ ФСТЭК. Характерная особенность RHEL — длинный цикл поддержки (до 10 лет), поэтому уязвимости в старых версиях компонентов могут оставаться актуальными годами. Для серверной инфраструктуры на RHEL в составе КИИ мониторинг БДУ и CVE обязателен — SGRC-система связывает конкретные серверы с релевантными уязвимостями.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Red Hat Enterprise Linux
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.