Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Подверженные устройства;Идентификатор в других системах;Идентификатор в БДУ ФСТЭК России

SA-Aurora-OS-013-2023;Уязвимость реализации протокола MIDI ядра операционной системы Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2020-27786 link=https://nvd.nist.gov/vuln/detail/CVE-2020-27786;ФСТЭК: BDU:2021-01920 link=https://bdu.fstec.ru/vul/2021-01920 SA-Aurora-OS-014-2023;Уязвимость утилиты cURL, связана с граничной ошибкой при отправке данных на сервер MQTT. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать ошибку двойного освобождения и выполнить атаку отказа в обслуживании (DoS).;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2021-22945 link=https://nvd.nist.gov/vuln/detail/CVE-2021-22945;ФСТЭК: BDU:2021-06010 link=https://bdu.fstec.ru/vul/2021-06010 SA-Aurora-OS-015-2023;Уязвимость функции l2cap_chan_put() (l2cap_core.с) ядра операционной системы Linux связана с использованием ранее освобождённой памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-20566 link=https://nvd.nist.gov/vuln/detail/CVE-2022-20566;ФСТЭК: BDU:2023-01293 link=https://bdu.fstec.ru/vul/2023-01293 SA-Aurora-OS-016-2023;Уязвимость реализации протокола OAUTH2 утилиты командной строки cURL связана с повторным использованием соединения с теми же учетными данными. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить несанкционированный доступ к защищаемой информации;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-22576 link=https://nvd.nist.gov/vuln/detail/CVE-2022-22576;ФСТЭК: BDU:2022-03036 link=https://bdu.fstec.ru/vul/2022-03036 SA-Aurora-OS-017-2023;Уязвимость функции route4_change (net/sched/cls_route.c) ядра операционной системы Linux связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю вызвать аварийное завершение работы приложения или выполнить произвольный код;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-2588 link=https://nvd.nist.gov/vuln/detail/CVE-2022-2588 ;ФСТЭК: BDU:2022-05178 link=https://bdu.fstec.ru/vul/2022-05178 SA-Aurora-OS-018-2023;Уязвимость реализации функции сопоставления конфигурации утилиты командной строки cURL связана с недостаточной защитой служебных данных при работе с протоколом IPv6. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, привести к неправильному соединению, когда одна передача использует идентификатор зоны, а последующая передача использует другой (или не использует) идентификатор зоны;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-27775 link=https://nvd.nist.gov/vuln/detail/CVE-2022-27775 ;ФСТЭК: BDU:2022-03038 link=https://bdu.fstec.ru/vul/2022-03038 SA-Aurora-OS-019-2023;Уязвимость реализации конфигурации запроса информации о SSL-сертификате CURLOPT_CERTINFO утилиты командной строки cURL связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызывать отказ в обслуживании;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-27781 link=https://nvd.nist.gov/vuln/detail/CVE-2022-27781 ;ФСТЭК: BDU:2022-03180 link=https://bdu.fstec.ru/vul/2022-03180 SA-Aurora-OS-020-2023;Уязвимость реализации протоколов TLS и SSH утилиты командной строки cURL связана с недостатками процедуры аутентификации при использовании ранее созданного соединения в пуле соединений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-27782 link=https://nvd.nist.gov/vuln/detail/CVE-2022-27782 ;ФСТЭК: BDU:2022-03185 link=https://bdu.fstec.ru/vul/2022-03185 SA-Aurora-OS-021-2023;Уязвимость компонента join.c изолированной программной среды Firejail связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-31214 link=https://nvd.nist.gov/vuln/detail/CVE-2022-31214 ;ФСТЭК: BDU:2022-04053 link=https://bdu.fstec.ru/vul/2022-04053 SA-Aurora-OS-022-2023;Уязвимость функции l2cap_reassemble_sdu() (net/bluetooth/l2cap_core.c) ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-3564 link=https://nvd.nist.gov/vuln/detail/CVE-2022-3564 ;ФСТЭК: BDU:2022-06564 link=https://bdu.fstec.ru/vul/2022-06564 SA-Aurora-OS-023-2023;Уязвимость реализации протокола IPv6 ядра операционной системы Linux вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или, возможно, оказать другое воздействие;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-3567 link=https://nvd.nist.gov/vuln/detail/CVE-2022-3567 ;ФСТЭК: BDU:2023-01300 link=https://bdu.fstec.ru/vul/2023-01300 SA-Aurora-OS-024-2023;Уязвимость функции l2cap_conn_del() (net/bluetooth/l2cap_core.c) ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-3640 link=https://nvd.nist.gov/vuln/detail/CVE-2022-3640 ;ФСТЭК: BDU:2022-06550 link=https://bdu.fstec.ru/vul/2022-06550 SA-Aurora-OS-025-2023;Уязвимость механизма HSTS (HTTP Strict Transport Security) утилиты командной строки cURL связана с проблемой при обработке нескольких запросов, приводящих к игнорированию поддержки HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить функциональность HSTS при последовательном запросе нескольких URL-адресов;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-23914 link=https://nvd.nist.gov/vuln/detail/CVE-2023-23914 ;ФСТЭК: BDU:2023-02154 link=https://bdu.fstec.ru/vul/2023-02154 SA-Aurora-OS-026-2023;Уязвимость утилиты программной строки curl связана с обменом данными с использованием протокола TELNET, которая может позволить злоумышленнику передать специально созданное имя пользователя и "параметры telnet" во время согласования с сервером. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять контент или выполнять согласование параметров.;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-27533 link=https://nvd.nist.gov/vuln/detail/CVE-2023-27533 ;ФСТЭК: BDU:2023-02107 link=https://bdu.fstec.ru/vul/2023-02107 SA-Aurora-OS-027-2023;Уязвимость утилиты программной строки curl связана с неправильной заменой символа тильды (~) при использовании в качестве префикса в первом элементе path, в дополнение к его предполагаемому использованию в качестве первого элемента для указания пути относительно домашнего каталога пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти фильтрацию или выполнить произвольный код, создавая путь, подобный /~ 2/foo, при доступе к серверу с определенным пользователем;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-27534 link=https://nvd.nist.gov/vuln/detail/CVE-2023-27534 ;ФСТЭК: BDU:2023-02084 link=https://bdu.fstec.ru/vul/2023-02084 SA-Aurora-OS-028-2023;Уязвимость библиотеки libcurl связана с повторным использованием FTP-соединения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, использовать неправильные учетные данные при выполнении передачи, что потенциально может привести к раскрытию защищаемой информации;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-27535 link=https://nvd.nist.gov/vuln/detail/CVE-2023-27535 ;ФСТЭК: BDU:2023-02106 link=https://bdu.fstec.ru/vul/2023-02106 SA-Aurora-OS-029-2023;Уязвимость функции повторного использования соединения библиотеки libcurl связана с обходом аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повлиять на передачу данных krb5/kerberos / negotiate /GSSAPI и потенциально привести к несанкционированному доступу к конфиденциальной информации в результате сбоя в проверке изменений в опции CURLOPT_GSSAPI_DELEGATION;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-27536 link=https://nvd.nist.gov/vuln/detail/CVE-2023-27536 ;ФСТЭК: BDU:2023-02109 link=https://bdu.fstec.ru/vul/2023-02109 SA-Aurora-OS-030-2023;Уязвимость функции vcs_read() в модуле drivers/tty/vt/vc_screen.c ядра операционной системы Linux связана с использованием ранее освобожденной памяти из-за конкурентного доступа к ресурсу (состояние гонки). Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-3567 link=https://nvd.nist.gov/vuln/detail/CVE-2023-3567 ;ФСТЭК: BDU:2023-03782 link=https://bdu.fstec.ru/vul/2023-03782 SA-Aurora-OS-031-2023;Уязвимость функции fw_set_parms() в модуле net/sched/cls_fw.c ядра операционной системы Linux связана с связана с повторным использованием ранее освобожденной памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации и повысить свои привилегии;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-3776 link=https://nvd.nist.gov/vuln/detail/CVE-2023-3776 ;ФСТЭК: BDU:2023-04270 link=https://bdu.fstec.ru/vul/2023-04270 SA-Aurora-OS-032-2023;Уязвимость функций l2cap_sock_release (net/bluetooth/l2cap_sock.c) ядра операционных систем Linux связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или оказать иное воздействие;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-40283 link=https://nvd.nist.gov/vuln/detail/CVE-2023-40283 ;ФСТЭК: BDU:2023-04770 link=https://bdu.fstec.ru/vul/2023-04770 SA-Aurora-OS-033-2023;Уязвимость компоненты net/sched ядра операционной системы Linux связана с повторным использованием ранее освобожденной памяти в функции fw_change() в модуле net/sched/cls_fw.c, а так же u32_init_knode() в net/sched/cls_u32 и route4_change() в net/sched/cls_route.c. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации или повысить свои привилегии;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-4128 link=https://nvd.nist.gov/vuln/detail/CVE-2023-4128 ;ФСТЭК: BDU:2023-04837 link=https://bdu.fstec.ru/vul/2023-04837 SA-Aurora-OS-034-2023;Уязвимость реализации сетевого протокола UDPv6 ядра операционной системы Linux связана с конкурентным доступом к структуре dst_entry (состояние гонки) в связи с отсутствием синхронизации в функции sk_setup_caps() в модуле net/core/sock.c. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслужвании;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;LVC*: LVC-2023-00004 ;ФСТЭК: BDU:2023-03167 link=https://bdu.fstec.ru/vul/2023-03167 SA-Aurora-OS-035-2023;Уязвимость драйвера DRM ядра операционной системы Linux связана с доступом и работе с динамической неинициализированной памятью в функции drm_mode_setcrtc() в модуле drivers/gpu/drm/drm_crtc.c . Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность и доступность информации и выполнить произвольный код;ОС до 4.0.2.303;F+ Life Tab Plus, Mashtab TrustPhone T1;LVC: LVC-2023-00006; SA-Aurora-OS-036-2023;Уязвимость компонента TCP handler ядра операционной системы Linux связана с ситуацией гонки в функциях setsockopt, getsockopt. Эксплуатация уязвимости может позволить нарушителю оказать влияние на конфиденциальность, целостность или доступность информации;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2022-3566 link=https://nvd.nist.gov/vuln/detail/CVE-2022-3566;ФСТЭК: BDU:2023-07690 link=https://bdu.fstec.ru/vul/2023-07690 SA-Aurora-OS-037-2023;Уязвимость реализации механизмов "цепочной" компрессии HTTP утилиты командной строки cURL связана с возможностью осуществить бесконечное число шагов декомпрессии HTTP-ответов сервера, что приведет к бесконтрольному потреблению памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;MITRE: CVE-2023-23916 link=https://nvd.nist.gov/vuln/detail/CVE-2023-23916;ФСТЭК: BDU:2023-07689 link=https://bdu.fstec.ru/vul/2023-07689 SA-Aurora-OS-038-2023;Уязвимость компонента проверки устанавливаемых пакетов операционной системы «Аврора» связана с отсутствием контроля параметров устанавливаемых пакетов. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями с помощью специально сформированного пакета;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;;ФСТЭК: BDU:2023-07597 link=https://bdu.fstec.ru/vul/2023-07597 SA-Aurora-OS-039-2023;Уязвимость механизма уведомлений операционной системы «Аврора» связана с отсутствием контроля разрешений для приложений, отправляющих уведомление. Эксплуатация уязвимости позволяет нарушителю выполнить привилегированные запросы к компонентам системы, что может привести к нарушению конфиденциальности, целостности и доступности данных;ОС до 4.0.2.303;F+ Life Tab Plus, Aquarius CMP NS220, Byterg MVK-2020, Mashtab TrustPhone T1;;ФСТЭК: BDU:2023-07598 link=https://bdu.fstec.ru/vul/2023-07598