Уязвимости РЕД ОС: CVE, БДУ ФСТЭК и мониторинг
Уязвимости РЕД ОС из реестра БДУ ФСТЭК: 8 091 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости РЕД ОС из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 8 091.
BDU:2024-00750Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins, позволяющая нарушителю выполнить произвольный код
BDU:2023-07372Уязвимость программной платформы Apache ActiveMQ, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код
BDU:2023-04877Уязвимость консоли администрирования кроссплатформенного сервера совместной работы в реальном времени Openfire, связанная с возможностью обхода пути, позволяющая нарушителю повысить свои привилегии
BDU:2025-03383Уязвимость модуля htmlawed системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, позволяющая нарушителю внедрить произвольных PHP код
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2024-04432Уязвимость интерпретатора языка программирования PHP, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системмы, позволяющая нарушителю вып
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2021-06204Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2025-02511Уязвимость сервера приложений Apache Tomcat, связанная с принятием входных данных пути в виде внутренней точки без проверки, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
Почему важно отслеживать уязвимости РЕД ОС
РЕД ОС — российская операционная система на базе CentOS/RHEL от компании Ред Софт. Используется в государственных информационных системах и на объектах критической информационной инфраструктуры. Как и другие Linux-дистрибутивы, наследует уязвимости ядра, системных библиотек (glibc, OpenSSL) и пакетной базы. Специфика РЕД ОС: собственные компоненты безопасности (PARSEC, ALD) могут иметь уязвимости, не описанные в CVE, но зарегистрированные в БДУ ФСТЭК. Организации, эксплуатирующие РЕД ОС в составе ГИС, обязаны мониторить публикации в БДУ ФСТЭК и устранять уязвимости в сроки, установленные приказом №117.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей РЕД ОС
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.