КиберосноваSGRC

Уязвимости РОСА (ROSA Linux): CVE, БДУ ФСТЭК и мониторинг

Уязвимости РОСА (ROSA Linux) из реестра БДУ ФСТЭК: 1 286 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

1 286уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости РОСА (ROSA Linux) из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 1 286.

BDU:2021-04820
Высокий
9.8
KEV
EPSS 100%24ч

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку

2021CVE-2021-40438
BDU:2023-06559
Высокий
7.5
KEV
EPSS 100%7дн

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

2023CVE-2023-44487
BDU:2024-04936
Высокий
9.1
KEV
EPSS 100%24ч

Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код

2024CVE-2024-38475
BDU:2023-05510
Критический
8.8
KEV
EPSS 100%7дн

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-4863
BDU:2021-00364
Высокий
7.8
KEV
EPSS 99%7дн

Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root

2021CVE-2021-3156
BDU:2022-01166
Средний
7.8
KEV
EPSS 88%7дн

Уязвимость функций copy_page_to_iter_pipe и push_pipe ядра операционной системы Linux, позволяющая нарушителю перезаписать содержимое страничного кэша произвольных файлов

2022CVE-2022-0847
BDU:2023-06269
Средний
7.8
KEV
EPSS 81%7дн

Уязвимость динамического загрузчика ld.so библиотеки glibc, позволяющая нарушителю выполнить произвольный код c повышенными привилегиями

2023CVE-2023-4911
BDU:2019-01404
Высокий
7.8
KEV
EPSS 65%7дн

Уязвимость модуля MPM веб-сервера Apache HTTP, связанная с использованием памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а так

2019CVE-2019-0211
BDU:2021-01967
Критический
9.8
KEV
EPSS 57%24ч

Уязвимость микропрограммного обеспечения коммутаторов NETGEAR ProSafe Plus JGS516PE, связанная с отсутствием защиты служебных данных, позволяющая нарушителю вызвать отказ в обслуживании

2021CVE-2020-26919
BDU:2023-06157
Критический
9.6
KEV
EPSS 49%24ч

Уязвимость функции кодирования в формат VP8 библиотеки libvpx браузера Google Chrome, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-5217

Почему важно отслеживать уязвимости РОСА (ROSA Linux)

РОСА (ROSA Linux) — семейство отечественных ОС от АО «НТЦ ИТ РОСА»: настольная редакция РОСА Хром, серверные сборки и собственная платформа виртуализации ROSA Virtualization. Продукт сильно ориентирован на рабочий стол и активно внедряется в госсекторе и образовании. Отсюда специфика уязвимостей: помимо ядра Linux и системных библиотек, в БДУ ФСТЭК попадают компоненты десктоп-окружения (графический стек, браузер, офисные пакеты) и гипервизора ROSA Virtualization на базе QEMU/KVM, где ошибка может привести к побегу из виртуальной машины. НТЦ ИТ РОСА устраняет уязвимости плановыми обновлениями и бюллетенями безопасности, но между регистрацией CVE и выходом патча остаётся окно риска. Приказ ФСТЭК №117 задаёт SLA: CVSS 9.0+ — 24 часа, 7.0–8.9 — 7 дней; для значимых объектов КИИ действует приказ №239, для ИСПДн — №21. SGRC-платформа КиберОснова сопоставляет реестр ИТ-активов с БДУ ФСТЭК и ставит задачу на устранение с дедлайном ответственному.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях РОСА (ROSA Linux)

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей РОСА (ROSA Linux)

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.