- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
Бюллетень безопасности №5
для ОС Аврора версии 3.2.2
для ОС Аврора версии 3.2.2
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей ОС Аврора, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Подверженные устройства;Идентификатор в других системах;Идентификатор в БДУ ФСТЭК России
SA-Aurora-OS-016-2021;Уязвимость ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии; OS 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-35508 link=https://nvd.nist.gov/vuln/detail/CVE-2020-35508; ФСТЭК: BDU:2021-02938 link=https://bdu.fstec.ru/vul/2021-02938
SA-Aurora-OS-043-2021;Уязвимость пакета dnsproxy диспетчера соединений Connman, позволяющая нарушителю выполнить произвольный код;OS 3.2.2 все сборки;INOI R7, Aquarius CMP NS220, Byterg MVK-2020;MITRE: CVE-2021-26675 link=https://nvd.nist.gov/vuln/detail/CVE-2021-26675; ФСТЭК: BDU:2021-01128 link=https://bdu.fstec.ru/vul/2021-01128
SA-Aurora-OS-044-2021; Уязвимость компонента gdhcp диспетчера соединений Connman, позволяющая нарушителю раскрыть защищаемую информацию;ОС 3.2.2 все сборки;INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-26676 link=https://nvd.nist.gov/vuln/detail/CVE-2021-26676; ФСТЭК: BDU:2021-01129 link=https://bdu.fstec.ru/vul/2021-01129
SA-Aurora-OS-045-2021; Уязвимость библиотеки OpenSSL, связанная с ошибками обработки криптографических ключей при использовании протокола DH (E), позволяющая нарушителю вызвать отказ в обслуживании;ОС 3.2.2 все сборки;INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2018-0732 link=https://nvd.nist.gov/vuln/detail/CVE-2018-0732; ФСТЭК: BDU:2019-00186 link=https://bdu.fstec.ru/vul/2019-00186
SA-Aurora-OS-046-2021; Уязвимость реализации алгоритма шифрования DSA (Digital Signature Algorithm) библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2018-0734 link=https://nvd.nist.gov/vuln/detail/CVE-2018-0734; ФСТЭК: BDU:2019-01256 link=https://bdu.fstec.ru/vul/2019-01256
SA-Aurora-OS-047-2021; Уязвимость алгоритма генерации RSA-ключа библиотеки OpenSSL, позволяющая нарушителю восстановить закрытый ключ;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2018-0737 link=https://nvd.nist.gov/vuln/detail/CVE-2018-0737; ФСТЭК: BDU:2019-00021 link=https://bdu.fstec.ru/vul/2019-00021
SA-Aurora-OS-048-2021; Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации;ОС 3.2.2 все сборки; Aquarius CMP NS220, Byterg MVK-2020, INOI R7; MITRE: CVE-2019-1547 link=https://nvd.nist.gov/vuln/detail/CVE-2019-1547; ФСТЭК: BDU:2019-04084 link=https://bdu.fstec.ru/vul/2019-04084
SA-Aurora-OS-049-2021; Уязвимость функции PA-RISC CRYPTO_memcmp библиотеки OpenSSL, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2019-1551 link=https://nvd.nist.gov/vuln/detail/CVE-2019-1551; ФСТЭК: BDU:2020-00300 link=https://bdu.fstec.ru/vul/2020-00300
SA-Aurora-OS-050-2021; Уязвимость функции SSL_shutdown средства криптографической защиты OpenSSL, позволяющая нарушителю раскрыть защищаемую информацию;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2019-1559 link=https://nvd.nist.gov/vuln/detail/CVE-2019-1559; ФСТЭК: BDU:2019-00985 link=https://bdu.fstec.ru/vul/2019-00985
SA-Aurora-OS-051-2021; Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL,связанная с недостатками механизма шифрования секретных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации;ОС 3.2.2 все сборки; Aquarius CMP NS220, Byterg MVK-2020, INOI R7; MITRE: CVE-2019-1563 link=https://nvd.nist.gov/vuln/detail/CVE-2019-1563; ФСТЭК: BDU:2019-04082 link=https://bdu.fstec.ru/vul/2019-04082
SA-Aurora-OS-052-2021; Уязвимость реализации функции video_usercopy (drivers/media/v4l2-core/v4l2-ioctl.c) ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-30002 link=https://nvd.nist.gov/vuln/detail/CVE-2021-30002; ФСТЭК: BDU:2021-01985 link=https://bdu.fstec.ru/vul/2021-01985
SA-Aurora-OS-053-2021; Уязвимость подсистемы netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-29650 link=https://nvd.nist.gov/vuln/detail/CVE-2021-29650; ФСТЭК: BDU:2021-02100 link=https://bdu.fstec.ru/vul/2021-02100
SA-Aurora-OS-054-2021; Уязвимость функции KD_FONT_OP_COPY драйвера fbcon ядра операционных систем Linux, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-28974 link=https://nvd.nist.gov/vuln/detail/CVE-2020-28974; ФСТЭК: BDU:2020-05544 link=https://bdu.fstec.ru/vul/2020-05544
SA-Aurora-OS-055-2021; Уязвимость системной библиотеки GNU C Library (glibc), связанная с переходом программы в бесконечный цикл, позволяющая нарушителю выполнить отказ в обслуживании;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-27618 link=https://nvd.nist.gov/vuln/detail/CVE-2020-27618
SA-Aurora-OS-056-2021; Уязвимость пакета dnsproxy диспетчера соединений Connman, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-33833 link=https://nvd.nist.gov/vuln/detail/CVE-2021-33833
SA-Aurora-OS-057-2021; Уязвимость системной библиотеки GNU C Library (glibc), связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить отказ в обслуживании или оказать другое воздействие;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2021-33574 link=https://nvd.nist.gov/vuln/detail/CVE-2021-33574
SA-Aurora-OS-058-2021; Уязвимость подсистемы LLC ядра операционной системы Linux, связанная с недостаточной проверкой входных данных, позволяющая локальному нарушителю вызвать отказ в обслуживании или оказать другое воздействие;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2017-6345 link=https://nvd.nist.gov/vuln/detail/CVE-2017-6345
SA-Aurora-OS-059-2021; Уязвимость ядра операционной системы Linux, связанная с недостаточной проверкой входных данных, позволяющая привилегированному пользователю обойти ограничения безопасности системы;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2017-5669 link=https://nvd.nist.gov/vuln/detail/CVE-2017-5669
SA-Aurora-OS-060-2021; Уязвимость ядра операционной системы Linux, связанная с записью за границами буфера в памяти, позволяющая локальному нарушителю вызвать отказ в обслуживании или оказать другое воздействие;ОС 3.2.2 все сборки; INOI R7, Aquarius CMP NS220, Byterg MVK-2020; MITRE: CVE-2020-28915 link=https://nvd.nist.gov/vuln/detail/CVE-2020-28915
Рекомендации по устранению уязвимостей:
обновление ОС Аврора до версии 3.2.3.31 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi
обновление ОС Аврора до версии 3.2.3.31 и выше
в случае невозможности обновления использовать следующие меры нейтрализации угроз:
- исключить установку приложений из недоверенных источников
- исключить открытие медиа-файлов, а также иных файлов полученных из недоверенных источников- исключить открытие почтовых вложений, полученных с недоверенных адресов;
- исключить подключение к недоверенным точкам доступа wi-fi