Уязвимости РОСА (ROSA Linux): CVE, БДУ ФСТЭК и мониторинг
Уязвимости РОСА (ROSA Linux) из реестра БДУ ФСТЭК: 1 286 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости РОСА (ROSA Linux) из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 1 286.
BDU:2021-04820Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06559Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения
BDU:2024-04936Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код
BDU:2023-05510Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
BDU:2021-00364Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root
BDU:2022-01166Уязвимость функций copy_page_to_iter_pipe и push_pipe ядра операционной системы Linux, позволяющая нарушителю перезаписать содержимое страничного кэша произвольных файлов
BDU:2023-06269Уязвимость динамического загрузчика ld.so библиотеки glibc, позволяющая нарушителю выполнить произвольный код c повышенными привилегиями
BDU:2019-01404Уязвимость модуля MPM веб-сервера Apache HTTP, связанная с использованием памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а так
BDU:2021-01967Уязвимость микропрограммного обеспечения коммутаторов NETGEAR ProSafe Plus JGS516PE, связанная с отсутствием защиты служебных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-06157Уязвимость функции кодирования в формат VP8 библиотеки libvpx браузера Google Chrome, позволяющая нарушителю выполнить произвольный код
Почему важно отслеживать уязвимости РОСА (ROSA Linux)
РОСА (ROSA Linux) — семейство отечественных ОС от АО «НТЦ ИТ РОСА»: настольная редакция РОСА Хром, серверные сборки и собственная платформа виртуализации ROSA Virtualization. Продукт сильно ориентирован на рабочий стол и активно внедряется в госсекторе и образовании. Отсюда специфика уязвимостей: помимо ядра Linux и системных библиотек, в БДУ ФСТЭК попадают компоненты десктоп-окружения (графический стек, браузер, офисные пакеты) и гипервизора ROSA Virtualization на базе QEMU/KVM, где ошибка может привести к побегу из виртуальной машины. НТЦ ИТ РОСА устраняет уязвимости плановыми обновлениями и бюллетенями безопасности, но между регистрацией CVE и выходом патча остаётся окно риска. Приказ ФСТЭК №117 задаёт SLA: CVSS 9.0+ — 24 часа, 7.0–8.9 — 7 дней; для значимых объектов КИИ действует приказ №239, для ИСПДн — №21. SGRC-платформа КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и ставит задачу на устранение с дедлайном ответственному.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей РОСА (ROSA Linux)
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.