- Бюллетень безопасности №16 для ОС Аврора
- Бюллетень безопасности №20 для ОС Аврора
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №22 для ОС Аврора
- Бюллетень безопасности №23 для ОС Аврора
- Бюллетень безопасности №24 для ОС Аврора
- Бюллетень безопасности №25 для ОС Аврора
- Бюллетень безопасности №27 для ОС Аврора
- Бюллетень безопасности №6 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №7 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №12 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №15 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №19 для ОС Аврора версии 3.2.3
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №3 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №5 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №9 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №11 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №14 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №18 для ОС Аврора версии 3.2.2
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №2 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №4 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №8 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №10 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №13 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №17 для ОС Аврора версии 3.2.1
- Бюллетень безопасности №21 для ОС Аврора
- Бюллетень безопасности №1 для Аврора Центр версии 2.5.0
- Бюллетень безопасности №2 для Аврора Центр версии 3.2.0
- Бюллетень безопасности №3 для Аврора Центр версии 5.0.0
- Бюллетень безопасности №4 для Аврора Центр версии 5.1.0
- Бюллетень безопасности №5 для Аврора Центр версии 5.3.0
- Бюллетень безопасности №6 для Аврора Центр версии 5.4.3
Бюллетень безопасности №5
для Аврора Центр версии 5.3.0
для Аврора Центр версии 5.3.0
ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей Аврора Центр, нейтрализующие следующие идентифицированные уязвимости:
Идентификатор уязвимости;Описание уязвимости;Уязвимые версии продуктов;Возможные меры по устранению уязвимости;Идентификатор в других системах
SA-Aurora-AC-006-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-61725 GO-2025-4006
SA-Aurora-AC-007-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с ошибкой при валидации сертификатов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58188 GO-2025-4013
SA-Aurora-AC-008-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58185 GO-2025-4011
SA-Aurora-AC-009-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58186 GO-2025-4012
SA-Aurora-AC-010-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с алгоритмической сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-61723 GO-2025-4009
SA-Aurora-AC-011-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58183 GO-2025-4014
SA-Aurora-AC-012-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код.";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО";CVE-2025-47912 GO-2025-4010
SA-Aurora-AC-013-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58187 GO-2025-4007 BDU:2025-13562
SA-Aurora-AC-014-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-61724 GO-2025-4015
SA-Aurora-AC-015-2025;"Уязвимость пакета rs/cors, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-47908 GO-2024-2883 GHSA-mh55-gqvf-xfwm
SA-Aurora-AC-016-2025;"Уязвимость библиотеки ""mapstructure"", используемой в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неправильной обработкой выходных данных для журналов регистрации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к чувствительной информации";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО";GO-2025-3900 GHSA-2464-8j7c-4cjm
SA-Aurora-AC-017-2025;"Уязвимость пакета ulikunitz/xz, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-58058 GHSA-jc7w-c686-c4v9
SA-Aurora-AC-018-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-47907 GO-2025-3849
SA-Aurora-AC-019-2025;"Уязвимость библиотеки ""mapstructure"", используемой в прикладном программном обеспечении ППО ""Аврора Центр"" связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к чувствительной информации.";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО";GO-2025-3787 GHSA-fv92-fjc5-jj9h
SA-Aurora-AC-020-2025;"Уязвимость в пакете x/oauth2/jws, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неправильной проверкой синтаксической корректности ввода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа ""отказ в обслуживании"".";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-22868 GO-2025-3488 GHSA-3wqc-mwfx-672p BDU:2025-03638
SA-Aurora-AC-021-2025;"Уязвимость в пакете ""net/http"", используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к чувствительной информации.";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО";CVE-2025-4673 GO-2025-3751 BDU:2025-08599 GHSA-62jj-gr2r-5c34
SA-Aurora-AC-022-2025;"Уязвимость функции ""os.OpenFile"" пакета ""os"", используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с неверным определением символических ссылок перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа ""отказ в обслуживании""";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)";CVE-2025-0913 GO-2025-3750 BDU:2025-08600 GHSA-jw54-c8rr-pjpq
SA-Aurora-AC-023-2025;"Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО ""Аврора Центр"" связана с ошибками проверки ввода при обработке последовательностей обхода каталогов в именах файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к чувствительной информации.";до 5.4.3;"Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше. В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО";CVE-2025-22873 BDU:2025-07316
Рекомендации по устранению уязвимостей:
Обновление ППО «Аврора Центр» до версии 5.4.3 или выше. ППО «Аврора Центр» версии 5.4.3 выпущено. Получение сертификата соответствия ФСТЭК России запланировано на январь 2026 года.
В случае невозможности обновления использовать следующие меры нейтрализации угроз (в зависимости от используемой версии ППО «Аврора Центр»):
− использовать СЗИ нейтрализующих угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений);
− запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу прикладного программного обеспечения «Аврора Центр» в соответствии с эксплуатационной документацией изготовителя;
− использовать СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению «Аврора Центр».
Обновление ППО «Аврора Центр» до версии 5.4.3 или выше. ППО «Аврора Центр» версии 5.4.3 выпущено. Получение сертификата соответствия ФСТЭК России запланировано на январь 2026 года.
В случае невозможности обновления использовать следующие меры нейтрализации угроз (в зависимости от используемой версии ППО «Аврора Центр»):
− использовать СЗИ нейтрализующих угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений);
− запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу прикладного программного обеспечения «Аврора Центр» в соответствии с эксплуатационной документацией изготовителя;
− использовать СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению «Аврора Центр».