- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
Бюллетень безопасности №3
для ОС Аврора версии 3.2.2
для ОС Аврора версии 3.2.2
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей ОС Аврора, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Подверженные устройства;Идентификатор в других системах;Идентификатор в БДУ ФСТЭК России
SA-Aurora-OS-001-2021;Уязвимость библиотеки сжатия zlib операционной системы «Аврора», позволяющая нарушителю вызвать отказ в обслуживании или оказать неопределенное воздействие; OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020;
SA-Aurora-OS-002-2021;Уязвимость пакета PackageKit, связанная с неправильной аутентификацией, позволяющая локальному нарушителю повысить свои привилегии ;OS 3.2.2.21;INOI R7, Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2018-1106 link=https://nvd.nist.gov/vuln/detail/CVE-2018-1106
SA-Aurora-OS-003-2021; Уязвимость утилиты iconv системной библиотеки GNU C Library (glibc), связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании;OS 3.2.2.21;INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2019-25013 link=https://nvd.nist.gov/vuln/detail/CVE-2019-25013;
SA-Aurora-OS-004-2021; Уязвимость системы инициализации Linux systemd, связанная с обращением к памяти после ее освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании;OS 3.2.2.21;INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-1712 link=https://nvd.nist.gov/vuln/detail/CVE-2020-1712; ФСТЭК: BDU:2020-02039 link=https://bdu.fstec.ru/vul/2020-02039
SA-Aurora-OS-005-2021; Уязвимость функции glob системной библиотеки GNU C Library (glibc), связанная с использованием памяти после освобождения, позволяющая нарушителю, действующему локально, повысить свои привилегии;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-1752 link=https://nvd.nist.gov/vuln/detail/CVE-2020-1752
SA-Aurora-OS-006-2021; Уязвимость ядра операционной системы Linux, связанная с чтением данных за границами буфера в памяти, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-14305 link=https://nvd.nist.gov/vuln/detail/CVE-2020-14305; ФСТЭК: BDU:2021-00130 link=https://bdu.fstec.ru/vul/2021-00130
SA-Aurora-OS-007-2021; Уязвимость подсистемы perf ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии;OS 3.2.2.21; Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-14351 link=https://nvd.nist.gov/vuln/detail/CVE-2020-14351; ФСТЭК: BDU:2020-05832 link=https://bdu.fstec.ru/vul/2020-05832
SA-Aurora-OS-008-2021; Уязвимость реализации futex ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-14381 link=https://nvd.nist.gov/vuln/detail/CVE-2020-14381; ФСТЭК: BDU:2020-05792 link=https://bdu.fstec.ru/vul/2020-05792
SA-Aurora-OS-009-2021; Уязвимость файла fs/block_dev.c ядра операционной системы Linux, связанная с использованием памяти после ее освобождения, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-15436 link=https://nvd.nist.gov/vuln/detail/CVE-2020-15436; ФСТЭК: BDU:2021-00285 link=https://bdu.fstec.ru/vul/2021-00285
SA-Aurora-OS-010-2021; Уязвимость ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации;OS 3.2.2.21; Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-25705 link=https://nvd.nist.gov/vuln/detail/CVE-2020-25705; ФСТЭК: BDU:2020-05539 link=https://bdu.fstec.ru/vul/2020-05539
SA-Aurora-OS-011-2021; Уязвимость функции get_user_pages() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-29374 link=https://nvd.nist.gov/vuln/detail/CVE-2020-29374; ФСТЭК: BDU:2020-05552 link=https://bdu.fstec.ru/vul/2020-05552
SA-Aurora-OS-012-2021; Уязвимость компонента drivers/tty/tty_jobctrl.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации;OS 3.2.2.21; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-29661 link=https://nvd.nist.gov/vuln/detail/CVE-2020-29661; ФСТЭК: BDU:2021-00005 link=https://bdu.fstec.ru/vul/2021-00005
Рекомендации по устранению уязвимостей:
обновление ОС Аврора до версии 3.2.3 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
обновление ОС Аврора до версии 3.2.3 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi