КиберосноваSGRC

Уязвимости ОС ОН «Стрелец»: CVE, БДУ ФСТЭК и мониторинг

Уязвимости ОС ОН «Стрелец» из реестра БДУ ФСТЭК: 3 111 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

3 111уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости ОС ОН «Стрелец» из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 3 111.

BDU:2021-05969
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2021-04820
Высокий
9.8
KEV
EPSS 100%24ч

Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку

2021CVE-2021-40438
BDU:2021-04903
Высокий
8.1
KEV
EPSS 100%7дн

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю выполнить произвольный код или прочитать произвольные файлы в целевой сист

2021CVE-2021-41773
BDU:2022-00327
Средний
7.8
KEV
EPSS 100%7дн

Уязвимость библиотеки для обработки метаданных в файлах мультимедиа ExifTool, связанная с неверной нейтрализация особых элементов в выходных данных, позволяющая нарушителю получить доступ к конфиденци

2022CVE-2021-22204
BDU:2021-04904
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками проверки пути к каталогам, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-42013
BDU:2022-00892
Высокий
8.1
KEV
EPSS 100%7дн

Уязвимость системы управления базами данных (СУБД) Redis операционных систем Debian GNU/Linux, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код

2022CVE-2022-0543
BDU:2020-04016
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость реализации протокола Netlogon Remote Protocol (MS-NRPC) операционных систем Windows, позволяющая нарушителю повысить свои привилегии

2020CVE-2020-1472
BDU:2020-00013
Высокий
8.7
KEV
EPSS 99%7дн

Уязвимость компонента sapi/fpm/fpm/fpm_main.c расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю выполнять произвольные команды

2020CVE-2019-11043
BDU:2021-00364
Высокий
7.8
KEV
EPSS 99%7дн

Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root

2021CVE-2021-3156
BDU:2020-00937
Критический
9.8
KEV
EPSS 99%24ч

Уязвимость Apache Jserv Protocol - коннектора сервера приложений Apache Tomcat, позволяющая нарушителю выполнить произвольный код

2020CVE-2020-1938

Почему важно отслеживать уязвимости ОС ОН «Стрелец»

ОС ОН «Стрелец» — защищённая операционная система разработки АО «Концерн ВНИИНС им. В.В. Соломатина», созданная для обработки сведений, составляющих государственную тайну, и применения в оборонном секторе. Её отличает тройная сертификация ФСТЭК, ФСБ и Минобороны и ориентация на самые строгие классы защищённости в замкнутом контуре, где нет прямого выхода в интернет. Ядро и системные компоненты наследуют классы уязвимостей Linux — использование памяти после освобождения (CWE-416) и запись за границами буфера (CWE-787), ведущие к повышению привилегий. Патчи вендор выпускает регламентированным циклом для аттестованных систем: обновление доставляется по доверенным каналам и требует переаттестации сегмента. По приказу ФСТЭК №117 уязвимость CVSS 9.0+ устраняется за 24 часа, 7.0–8.9 — за 7 дней; для значимых объектов КИИ действует приказ №239. Автоматизируйте контроль уязвимостей «Стрелец» на SGRC-платформе КиберОснова: сопоставление реестра ИТ-активов с БДУ ФСТЭК и задачи с дедлайнами.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

FAQ

Вопросы об уязвимостях ОС ОН «Стрелец»

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей ОС ОН «Стрелец»

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости ОС ОН «Стрелец» — CVE и БДУ ФСТЭК | КиберОснова