Бюллетень безопасности №6 для Аврора Центр версии 5.4.3

Бюллетень безопасности №6 от 23.03.2026
для Аврора Центр версии 5.4.3

ООО «Открытая мобильная платформа» подготовило рекомендации для пользователей Аврора Центр, нейтрализующие следующие идентифицированные уязвимости:

SA-Aurora-AC-001-2026;Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО "Аврора Центр" связана с некорректной проверкой подлинности сертификата при интеграции ППО с внешними системами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации.; до 5.4.3 включительно; Обновить ППО "Аврора Центр" до версии 5.5.0 или выше. В случае невозможности обновления ограничить использование внешних интегрированных систем. Не использовать Wildcard-сертификаты.;CVE-2025-61727 GO-2025-4175 SA-Aurora-AC-002-2026;Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО "Аврора Центр" связана с некорректной проверкой срока действия цепочки сертификатов при интеграции ППО с внешними системами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации.; до 5.4.3 включительно; Обновить ППО "Аврора Центр" до версии 5.5.0 или выше. В случае невозможности обновления ограничить использование внешних интегрированных систем.;CVE-2025-68121 GO-2026-4337 SA-Aurora-AC-003-2026;Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО "Аврора Центр" связана с некорректной зачисткой или освобождением ресурсов при интеграции ППО с внешними системами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании".; до 5.4.3 включительно; Обновить ППО "Аврора Центр" до версии 5.5.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений). Ограничить использование внешних интегрированных систем.;CVE-2025-61729 GO-2025-4155 SA-Aurora-AC-004-2026;Уязвимость языка программирования Golang, используемого в прикладном программном обеспечении ППО "Аврора Центр" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании".; до 5.4.3 включительно; Обновить ППО "Аврора Центр" до версии 5.5.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений);CVE-2025-61726 GO-2026-4341 SA-Aurora-AC-005-2026;Уязвимость пакета go-jose/go-jose, используемого в прикладном программном обеспечении ППО "Аврора Центр" связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа "отказ в обслуживании".;до 5.4.3 включительно;Обновить ППО "Аврора Центр" до версии 5.5.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений);CVE-2025-27144, GHSA-c6gw-w398-hv78

Рекомендации по устранению уязвимостей:

Обновление ППО «Аврора Центр» до версии 5.5.0 или выше. ППО «Аврора Центр» версии 5.5.0 выпущено. Получение сертификата соответствия ФСТЭК России запланировано на март 2026 года.

В случае невозможности обновления использовать следующие меры нейтрализации угроз (в зависимости от используемой версии ППО «Аврора Центр»):

− использовать СЗИ нейтрализующих угрозы атак типа "отказ в обслуживании" (межсетевые экраны веб-приложений, системы обнаружения вторжений);
− запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу прикладного программного обеспечения «Аврора Центр» в соответствии с эксплуатационной документацией изготовителя;
− ограничить использование внешних интегрированных систем;
− запретить использование Wildcard-сертификатов;
− использовать СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению «Аврора Центр».