- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
Бюллетень безопасности №1
для Аврора Центр версии 2.5.0
для Аврора Центр версии 2.5.0
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей Аврора Центр, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Возможные меры по устранению уязвимости;Идентификатор в других системах
SA-Aurora-AC-001-2021;Уязвимость модуля omp-appmanager мобильных приложений из состава прикладного программного обеспечения «Аврора Центр», связанная с предоставлением непривилегированным учетным записям привилегированного API для установки и удаления приложений. Эксплуатация уязвимости может позволить нарушителю, получившему доступ к API модуля путем установки на мобильное устройство вредоносного приложения, выполнять в контексте привилегированного процесса установку или удаление мобильных приложений; 2.1.3 до 2.4.0;Исключить использование мобильных приложений из недоверенных источников;
SA-Aurora-AC-002-2021;Уязвимость в библиотеке Apache Thrift прикладного программного обеспечения «Аврора Центр» связана с зацикливанием при определенных входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании"; 2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2019-0205, BDU:2020-00070
SA-Aurora-AC-003-2021;Уязвимость в библиотеке Apache Thrift прикладного программного обеспечения «Аврора Центр» связана с некорректной работой функций библиотеки при определенных входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2019-0210
SA-Aurora-AC-004-2021;Уязвимость в библиотеке Apache Thrift прикладного программного обеспечения «Аврора Центр» связана с выделением большого объема памяти при получении большого количества коротких сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-13949
SA-Aurora-AC-005-2021;Уязвимость в библиотеке средства разработки GoLang, используемой в прикладном программном обеспечении ППО "Аврора Центр" связана с зацикливанием при определенных входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-16845
SA-Aurora-AC-006-2021;Уязвимость в криптографических функциях библиотеки средства разработки GoLang, используемой в прикладном программном обеспечении ППО "Аврора Центр" связана с некорректной проверкой сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-28362
SA-Aurora-AC-007-2021;Уязвимость в библиотеке GSON прикладного программного обеспечения «Аврора Центр» связана с некорректной работой функций библиотеки при использовании специально сформированных данных в формате JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-35380
SA-Aurora-AC-008-2021;Уязвимость в библиотеке GSON прикладного программного обеспечения «Аврора Центр» связана с неконтролируемым потреблением ресурсов при использовании специально сформированных данных в формате JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-36066
SA-Aurora-AC-009-2021;Уязвимость в библиотеке GJSON связана с неконтролируемым потреблением ресурсов при использовании специально сформированного GET-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании";2.1.3 до 2.5.0;Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;CVE-2020-36067
SA-Aurora-AC-010-2021;Уязвимость в библиотеке uglify-js прикладного программного обеспечения «Аврора Центр» связана c не корректной проверкой синтаксиса входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить инъекцию специально сформированного java-скрипт и изменить работу некоторых функций ППО;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2015-8857
SA-Aurora-AC-011-2021;Уязвимость в библиотеке uglify-js прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2015-8858
SA-Aurora-AC-012-2021;Уязвимость в библиотеке debug прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2017-16137
SA-Aurora-AC-013-2021;Уязвимость в библиотеке constantinople связана с некорректной работой функций библиотеки при определенных входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя
SA-Aurora-AC-014-2021;Уязвимость в библиотеке clean-css прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя
SA-Aurora-AC-015-2021;Уязвимость в функции set библиотеки set-value прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2019-10747
SA-Aurora-AC-016-2021;Уязвимость в библиотеке minimist прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7598
SA-Aurora-AC-017-2021;Уязвимость в библиотеке dot-prop прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-8116
SA-Aurora-AC-018-2021;Уязвимость в библиотеке acron прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя
SA-Aurora-AC-019-2021;Уязвимость в библиотеке kind-of прикладного программного обеспечения «Аврора Центр» связана некорректной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "Validation bypass" (обход валидации). Созданная полезная нагрузка может перезаписать встроенный атрибут, чтобы управлять результатом определения типа;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2019-20149
SA-Aurora-AC-020-2021;Уязвимость в библиотеке node-fetch прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-15168
SA-Aurora-AC-021-2021;Уязвимость в функции util.setPath библиотеки node-fetch прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7720
SA-Aurora-AC-022-2021;Уязвимость в библиотеке @hapi/hapi прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя
SA-Aurora-AC-023-2021;Уязвимость в библиотеке http-proxy прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "Отказ в обслуживании";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя
SA-Aurora-AC-024-2021;Уязвимость в библиотеке yargs-parser прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7608
SA-Aurora-AC-025-2021;Уязвимость в функции deleteFunctions библиотеки serialize-javascript прикладного программного обеспечения «Аврора Центр» связана с некорректной проверкой генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "Code Injection" (инъекция когда);2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7660
SA-Aurora-AC-026-2021;Уязвимость в функции set библиотеки object-path прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-15256
SA-Aurora-AC-027-2021;Уязвимость в библиотеке ini прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7788
SA-Aurora-AC-028-2021;Уязвимость в библиотеке axios прикладного программного обеспечения «Аврора Центр» связана с подделкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Server-Side Request Forgery (SSRF) и спровоцировать сервер на отправку запроса на произвольный адрес;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-28168
SA-Aurora-AC-029-2021;Уязвимость в библиотеке immer прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-28477
SA-Aurora-AC-030-2021;Уязвимость в библиотеке y18n прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7774
SA-Aurora-AC-031-2021;Уязвимость в функциях toNumber, trim и trimEnd библиотеки lodash прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-28500
SA-Aurora-AC-032-2021;Уязвимость в функции set библиотеки property-expr прикладного программного обеспечения «Аврора Центр» связана с невозможностью проверки обновляемых свойств (атрибутов) объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа Prototype Pollution (загрязнение типа). Это позволяет нарушителям изменять прототип Object, вызывая добавление или изменение существующего свойства для всех объектов;2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7707
SA-Aurora-AC-033-2021;Уязвимость в библиотеке ua-parser-js прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7733
SA-Aurora-AC-034-2021;Уязвимость в библиотеке ua-parser-js прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2020-7793
SA-Aurora-AC-035-2021;Уязвимость в библиотеке lodash прикладного программного обеспечения «Аврора Центр» связана с некорректной обработкой специальных элементов, которые могут изменить команду ОС, когда она передается нижестоящему компоненту. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "OS Command Injection" (инъекция команды);2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2021-23337
SA-Aurora-AC-036-2021;Уязвимость в библиотеке PostCSS прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2021-23368
SA-Aurora-AC-037-2021;Уязвимость в библиотеке ssri прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2021-27290
SA-Aurora-AC-038-2021;Уязвимость в библиотеке ua-parser-js прикладного программного обеспечения «Аврора Центр» связана c неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "regular expression DoS";2.1.3 до 2.5.0;Средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя;CVE-2021-27292
Рекомендации по устранению уязвимостей:
Обновление ППО «Аврора Центр» до версии 2.5.1 и выше. Выход ППО «Аврора Центр» версии 2.5.1 запланирован на июль 2021 года. Получение сертификата соответствия ФСТЭК России запланировано на октябрь 2021 года.
В случае невозможности обновления использовать следующие меры нейтрализации угроз (в зависимости от используемой версии ППО «Аврора Центр»):
- исключить использование мобильных приложений из недоверенных источников;
- использовать СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;
- средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя.
Обновление ППО «Аврора Центр» до версии 2.5.1 и выше. Выход ППО «Аврора Центр» версии 2.5.1 запланирован на июль 2021 года. Получение сертификата соответствия ФСТЭК России запланировано на октябрь 2021 года.
В случае невозможности обновления использовать следующие меры нейтрализации угроз (в зависимости от используемой версии ППО «Аврора Центр»):
- исключить использование мобильных приложений из недоверенных источников;
- использовать СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр;
- средствами межсетевого экрана ограничить доступ к веб-интерфейсу прикладного программного обеспечения Аврора Центр в соответствии с эксплуатационной документацией изготовителя.