- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
Бюллетень безопасности №21
для ОС Аврора
для ОС Аврора
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей ОС Аврора, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Подверженные устройства;Идентификатор в других системах;Идентификатор в БДУ ФСТЭК России
SA-Aurora-OS-001-2023;Уязвимость утилиты командной строки c URL связана с логической ошибкой повторно используемого дескриптора при обработке последующих HTTP-запросов PUT и POST. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или оказать иное воздействие на систему, используя обратный вызов чтения (CURLOPT_READFUNCTION);ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-32221 link=https://nvd.nist.gov/vuln/detail/CVE-2022-32221; ФСТЭК: BDU:2022-07403 link=https://bdu.fstec.ru/vul/2022-07403
SA-Aurora-OS-002-2023;Уязвимость утилиты командной строки cURL связана с повторным освобождением памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-42915 link=https://nvd.nist.gov/vuln/detail/CVE-2022-42915; ФСТЭК: BDU:2022-06691 link=https://bdu.fstec.ru/vul/2022-06691
SA-Aurora-OS-003-2023;Уязвимость утилиты командной строки cURL связана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-42916 link=https://nvd.nist.gov/vuln/detail/CVE-2022-42916; ФСТЭК: BDU:2022-06692 link=https://bdu.fstec.ru/vul/2022-06692
SA-Aurora-OS-004-2023;Уязвимость набора утилит командной строки BusyBox связана с ошибками при проверке ввода записей PTR DNS, выводимых в утилите netstat, если она выполняется на совместимом с VT терминале. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды оболочки в целевой системе;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-28391 link=https://nvd.nist.gov/vuln/detail/CVE-2022-28391; ФСТЭК: BDU:2022-04487 link=https://bdu.fstec.ru/vul/2022-04487
SA-Aurora-OS-005-2023;Уязвимость функций l2cap_connect и l2cap_le_connect_req (net/bluetooth/l2cap_core.c) ядра операционных систем Linux связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-42896 link=https://nvd.nist.gov/vuln/detail/CVE-2022-42896; ФСТЭК: BDU:2022-07074 link=https://bdu.fstec.ru/vul/2022-07074
SA-Aurora-OS-006-2023;Уязвимость функции l2cap_config_req (net/bluetooth/l2cap_core.c) ядра операционных систем Linux связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-45934 link=https://nvd.nist.gov/vuln/detail/CVE-2022-45934; ФСТЭК: BDU:2022-07218 link=https://bdu.fstec.ru/vul/2022-07218
SA-Aurora-OS-007-2023;Уязвимость SMB-клиента ядра операционной системы Linux существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, манипулировать файлами в каталоге клиента;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2019-10220 link=https://nvd.nist.gov/vuln/detail/CVE-2019-10220; ФСТЭК: BDU:2020-00233 link=https://bdu.fstec.ru/vul/2020-00233
SA-Aurora-OS-008-2023;Уязвимость функции intr_callback() (drivers/net/usb/r8152.c) ядра операционных систем Linux связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании;ОС 3.2.1 все версии<br> ОС 3.2.2 все версии<br> ОС 3.2.3 все версии<br> ОС 4.0.2 до версии 4.0.2.209 включительно;F+ Life Tab Plus<br> Aquarius CMP NS220<br> Byterg MVK-2020<br> Mashtab TrustPhone T1;MITRE: CVE-2022-3594 link=https://nvd.nist.gov/vuln/detail/CVE-2022-3594; ФСТЭК: BDU:2022-07343 link=https://bdu.fstec.ru/vul/2022-07343
Рекомендации по устранению уязвимостей:
обновление ОС Аврора до версии 4.1.0.27 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
- исключить подключение к недоверенным узлам по протоколу bluetooth
обновление ОС Аврора до версии 4.1.0.27 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
- исключить подключение к недоверенным узлам по протоколу bluetooth