- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
Бюллетень безопасности №13
для ОС Аврора версии 3.2.1
для ОС Аврора версии 3.2.1
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей ОС Аврора, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Подверженные устройства;Идентификатор в других системах;Идентификатор в БДУ ФСТЭК России
SA-Aurora-OS-043-2022;Уязвимость компонента PI futexes ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код на уровне ядра;ОС 3.2.1 все сборки; Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-3347 link=https://nvd.nist.gov/vuln/detail/CVE-2021-3347; ФСТЭК: BDU:2021-02593 link=https://bdu.fstec.ru/vul/2021-02593
SA-Aurora-OS-044-2022;Уязвимость функции msadpcm_decode_block библиотеки libsndfile вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально созданного файла WAV;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2021-3246 link=https://nvd.nist.gov/vuln/detail/CVE-2021-3246; ФСТЭК: BDU:2021-03899 link=https://bdu.fstec.ru/vul/2021-03899
SA-Aurora-OS-045-2022;Уязвимость реализации команды «--ssl-reqd» программного средства для взаимодействия с серверами cURL связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаки типа «человек посередине»;ОС 3.2.1 все сборки; Aquarius CMP NS220,Byterg MVK-2020; MITRE: CVE-2021-22946 link=https://nvd.nist.gov/vuln/detail/CVE-2021-22946; ФСТЭК: BDU:2021-05649 link=https://bdu.fstec.ru/vul/2021-05649
SA-Aurora-OS-046-2022;Уязвимость функции cgroup_release_agent_write (kernel/cgroup/cgroup-v1.c) ядра операционной системы Linux связана с отсутствием контроля привилегий при настройке release_agent. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии в системе или вызвать отказ в обслуживании;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-0492 link=https://nvd.nist.gov/vuln/detail/CVE-2022-0492; ФСТЭК: BDU:2022-00737 link=https://bdu.fstec.ru/vul/2022-00737
SA-Aurora-OS-047-2022;Уязвимость библиотеки zlib связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью отправки специально сформированных данных приложению;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2018-25032 link=https://nvd.nist.gov/vuln/detail/CVE-2018-25032; ФСТЭК: BDU:2022-01641 link=https://bdu.fstec.ru/vul/2022-01641
SA-Aurora-OS-048-2022;Уязвимость программного обеспечения OpenVPN связанная с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить доступ к конфиденциальной информации;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-0547 link=https://nvd.nist.gov/vuln/detail/CVE-2022-0547; ФСТЭК: BDU:2022-01642 link=https://bdu.fstec.ru/vul/2022-01642
SA-Aurora-OS-051-2022;Уязвимость функции pfkey_register (net/key/af_key.c) ядра операционной системы Linux связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-1353 link=https://nvd.nist.gov/vuln/detail/CVE-2022-1353;ФСТЭК: BDU:2022-02816 link=https://bdu.fstec.ru/vul/2022-02816
SA-Aurora-OS-054-2022;Уязвимость протокола ICMP ядра операционной системы Linux связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2021-20322 link=https://nvd.nist.gov/vuln/detail/CVE-2021-20322;ФСТЭК: BDU:2022-03142 link=https://bdu.fstec.ru/vul/2022-03142
SA-Aurora-OS-056-2022;Уязвимость файла net/llc/af_llc.c ядра Linux. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-28356 link=https://nvd.nist.gov/vuln/detail/CVE-2022-28356;ФСТЭК: BDU:2022-03409 link=https://bdu.fstec.ru/vul/2022-03409
SA-Aurora-OS-059-2022;Уязвимость функции flac_buffer_copy библиотеки libsndfile связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2021-4156 link=https://nvd.nist.gov/vuln/detail/CVE-2021-4156;
SA-Aurora-OS-060-2022;Уязвимость звуковой подсистемы ядра Linux связана с использованием памяти после её освобождения и ситуацией гонки. Эксплуатация уязвимости может позволить нарушителю, действующему локально, вызвать отказ в обслуживании или повысить свои привилегии;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-1048 link=https://nvd.nist.gov/vuln/detail/CVE-2022-1048;
SA-Aurora-OS-061-2022;Уязвимость файловой системы FUSE ядра Linux связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему локально, повысить свои привилегии;ОС 3.2.1 все сборки;Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2022-1011 link=https://nvd.nist.gov/vuln/detail/CVE-2022-1011;
Рекомендации по устранению уязвимостей:
обновление ОС Аврора до версии 4.0.2.172 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
- исключить подключение к недоверенным узлам по протоколу bluetooth
- исключить взаимодействие с недоверенными NFC-устройствами
обновление ОС Аврора до версии 4.0.2.172 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
- исключить подключение к недоверенным узлам по протоколу bluetooth
- исключить взаимодействие с недоверенными NFC-устройствами