Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-459
CWE-459 Incomplete Cleanup
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2019-02783 | Уязвимость в реализации системного вызова mremap() ядра операционной системы Linux, позволяющая нарушителю получить доступ к физической странице |
| BDU:2021-00943 | Уязвимость утилиты для подключения к сети Intel PROSet/Wireless WiFi, существующая из-за неполной очистки временные или вспомогательные ресурсов, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании |
| BDU:2021-03391 | Уязвимость реализации технологии виртуализации Intel Virtualization Technology for Directed I/0 (VT-d), существующая из-за неполной очистки временных или вспомогательных ресурсов, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03687 | Уязвимость реализации неблокирующего метода ввода/вывода ("nonblocking I/O") сервера приложений Apache Tomcat, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-01250 | Уязвимость реализации стека протоколов TCP/IP ядра операционных систем семейства Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-02383 | Уязвимость реализации сетевого протокола ICMPv6 ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-02505 | Уязвимость реализации файловой системы FUSE ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03193 | Уязвимость серверов Metasys Application and Data Server (ADS), Metasys Extended Application and Data Server (ADX) и Metasys Open Application Server (OAS), связанная с неполной очисткой токена сеанса, позволяющая нарушителю получить токен сеанса аутен... |
| BDU:2022-05155 | Уязвимость системы ввода-вывода с отображением памяти (MMIO) процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05414 | Уязвимость компонентов arch/x86/kvm/lapic.c, kvm_free_lapic подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05570 | Уязвимость системы BIOS микропрограммного обеспечения Intel Server Platform Services, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06390 | Уязвимость клиента каталог открытых ключей Keybase для iOS и Android, существующая из-за неполной очистки временные или вспомогательные ресурсов, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании |
| BDU:2023-00077 | Уязвимость сетевого драйвера TwinCAT RT программного обеспечения для автоматизации и управления технологическими процессами Beckhoff TwinCAT, связанная с раскрытием информации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00289 | Уязвимость микрокода процессоров Intel Microcode, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-00566 | Уязвимость демона протокола маршрутизации Routing Protocol Daemon (rpd) операционных систем Juniper Networks Junos OS Evolved и Junos, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01050 | Уязвимость облачного сетевого хранилища Cloud Disk микропрограммного обеспечения роутеров ASUS RT-AC68U, позволяющая нарушителю производить запись произвольных файлов в систему |
| BDU:2023-01198 | Уязвимость подсистемы виртуализации Kernel-based Virtual Machine (KVM) в AMD Secure Encrypted Virtualization (SEV) в модуле virt/kvm/kvm_main.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04833 | Уязвимость серверного программного обеспечения HAProxy, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-05132 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki существует из-за неполной очистки временных или вспомогательных ресурсов, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-06728 | Уязвимость сервера приложений Apache Tomcat существует из-за неполной очистки временных или вспомогательных ресурсов, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-06729 | Уязвимость компонента Commons FileUpload сервера приложений Apache Tomcat, существующая из-за неполной очистки временных или вспомогательных ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00390 | Уязвимость механизма маршрутизации Non-Stop Routing (NSR) операционных систем Juniper Networks Junos OS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-01386 | Уязвимость загрузчика операционных систем Grub2, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02604 | Уязвимость сервера приложений Apache Tomcat, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02634 | Уязвимость функции multicast DNS (mDNS) gateway операционных систем Cisco IOS XE беспроводных контроллеров Catalyst серии 9800, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03033 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным или вызвать отказ... |
| BDU:2024-03589 | Уязвимость хранилища информации Xenstore гипервизора Xen, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03590 | Уязвимость хранилища информации Xenstore гипервизора Xen, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии или вызвать отказ в обслуживании |
| BDU:2024-04158 | Уязвимость подсистемы MCTP (Management Component Transport Protocol) ядра операционной системы Linux, позволяющая нраушителю повысить свои привилегии |
| BDU:2024-04161 | Уязвимость драйвера файловой системы NTFS3 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации или повысить свои привилегии |
| BDU:2024-09588 | Уязвимость службы CharxControllerAgent микропрограммного обеспечения модульных контроллеров зарядки переменного тока для зарядных станций и настенных зарядных устройств Phoenix Contact CHARX SEC-3100, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10210 | Уязвимость функции cxl_region_attach() компонентов cxl/region ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00021 | Уязвимость функции remap_pfn_range_notrack() в модуле mm/memory.c подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00850 | Уязвимость компонента drivers/s390/crypto/pkey_api.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00852 | Уязвимость компонента drivers/s390/crypto/pkey_api.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01906 | Уязвимость компонентов drm/msm/dpu ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03132 | Уязвимость функций tpm2_flush_space(), tpm_dev_transmit() драйвера Trusted Platform Module (TPM) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03284 | Уязвимость функции ib_cache_setup_one() модуля drivers/infiniband/core/cache.c - драйвера поддержки InfiniBand ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2025-03753 | Уязвимость функции xhci_mem_cleanup() драйвера USB ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04146 | Уязвимость компонентов net/sched ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04352 | Уязвимость функции afs_put_server() модуля fs/afs/server.c поддержки файловой системы Andrew (AFS) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04357 | Уязвимость функции ifcvf_probe() модуля drivers/vdpa/ifcvf/ifcvf_main.c - драйвера поддежки устройств vDPA ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04696 | Уязвимость функции nghttp2_on_stream_close_callback() библиотеки nghttp2 позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04714 | Уязвимость функции hclge_ptp_get_cycle() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05708 | Уязвимость сервера приложений Apache Tomcat, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09856 | Уязвимость в компонента ASP микропрограммного обеспечения графических процессоров AMD, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-09861 | Уязвимость в прошивке SEV микропрограммного обеспечения графических процессоров AMD, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11712 | Уязвимость операционных систем Cisco IOS XE сетевого устройства Catalyst 9800, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к контроллеру |
| BDU:2025-11729 | Уязвимость компонента Virtual GPU Manager драйвера хоста виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12111 | Уязвимость компонента net/sched/sch_hfsc.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2025-12379 | Уязвимость драйвера виртуальных графических процессоров NVIDIA Unified Memory, связанная с неполной очисткой, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-12649 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13564 | Уязвимость функции automount_fullpath() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13691 | Уязвимость функции kvm_hypercall4() модуля arch/x86/include/asm/kvm_para.h на платформе x86 ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании. |
| BDU:2025-13692 | Уязвимость функции sev_map_percpu_data() модуля arch/x86/kernel/kvm.c на платформе x86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2025-13698 | Уязвимость функции smcd_register_dev() модуля net/smc/smc_ism.c реализации сетевых функций ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2025-14263 | Уязвимость функции intel_engines_init() модуля drivers/gpu/drm/i915/gt/intel_engine_cs.c драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14280 | Уязвимость функции ixgbevf_init_module() модуля drivers/net/ethernet/intel/ixgbevf/ixgbevf_main.c драйвера поддержки сетевых адаптеров Ethernet Intel ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14372 | Уязвимость функции binder_transaction_buffer_release() модуля drivers/android/binder.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14605 | Уязвимость функции afs_extend_writeback() модуля fs/afs/write.c поддержки файловой системы ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-15329 | Уязвимость функции i2c_dev_irq_from_resources() модуля drivers/i2c/i2c-core.h - драйвера поддержки I2C ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15416 | Уязвимость программной платформы Apache Struts, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15702 | Уязвимость компонента fs/jfs ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2025-16228 | Уязвимость функции __extent_writepage() компонента btrfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16278 | Уязвимость функции virtnet_open() компонента virtio_net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2019-5011 | An exploitable privilege escalation vulnerability exists in the helper service CleanMyMac X, version 4.20, due to improper up... |
| CVE-2020-10685 | A flaw was found in Ansible Engine affecting Ansible Engine versions 2.7.x before 2.7.17 and 2.8.x before 2.8.11 and 2.9.x be... |
| CVE-2020-12494 | Beckhoff: Etherleak in TwinCAT RT network driver |
| CVE-2021-32928 | The Sentinel LDK Run-Time Environment installer (Versions 7.6 and prior) adds a firewall rule named “Sentinel License Manager... |
| CVE-2021-36205 | Metasys session token |
| CVE-2021-4002 | A memory leak flaw in the Linux kernel's hugetlbfs memory usage was found in the way the user maps some regions of memory twi... |
| CVE-2021-4032 | A vulnerability was found in the Linux kernel's KVM subsystem in arch/x86/kvm/lapic.c kvm_free_lapic when a failure allocatio... |
| CVE-2022-0171 | A flaw was found in the Linux kernel. The existing KVM SEV API has a vulnerability that allows a non-root (host) user-level a... |
| CVE-2022-0646 | A flaw use after free in the Linux kernel Management Component Transport Protocol (MCTP) subsystem was found in the way user... |
| CVE-2022-1552 | A flaw was found in PostgreSQL. There is an issue with incomplete efforts to operate safely when a privileged user is maintai... |
| CVE-2022-3238 | A double-free flaw was found in the Linux kernel’s NTFS3 subsystem in how a user triggers remount and umount simultaneously.... |
| CVE-2022-39368 | Californium Failing DTLS handshakes causes Data Loss due to throttling blocking processing of records |
| CVE-2022-40974 | Incomplete cleanup in the Intel(R) IPP Cryptography software before version 2021.6 may allow a privileged user to potentially... |
| CVE-2022-43477 | Incomplete cleanup for some Intel Unison software may allow an authenticated user to potentially enable information disclosur... |
| CVE-2022-45347 | Apache ShardingSphere-Proxy: MySQL authentication bypass |
| CVE-2022-45455 | Local privilege escalation due to incomplete uninstallation cleanup. The following products are affected: Acronis Cyber Prote... |
| CVE-2022-46298 | Incomplete cleanup for some Intel Unison software may allow a privileged user to potentially enable denial of service via loc... |
| CVE-2023-22407 | Junos OS and Junos OS Evolved: An RPD crash can happen due to an MPLS TE tunnel configuration change on a directly connected... |
| CVE-2023-29184 | An incomplete cleanup vulnerability [CWE-459] in FortiOS 7.2 all versions and before & FortiProxy version 7.2.0 through 7.2.... |
| CVE-2023-31356 | Incomplete system memory cleanup in SEV firmware could allow a privileged attacker to corrupt guest private memory, potential... |
| CVE-2023-36468 | Upgrading doesn't prevent exploiting vulnerable XWiki documents |
| CVE-2023-41835 | Apache Struts: excessive disk usage |
| CVE-2023-42794 | Apache Tomcat: FileUpload: DoS due to accumulation of temporary files on Windows |
| CVE-2023-42795 | Apache Tomcat: Failure during request clean-up leads to sensitive data leaking to subsequent requests |
| CVE-2023-45846 | Incomplete cleanup in Intel(R) Power Gadget software for macOS all versions may allow an authenticated user to potentially en... |
| CVE-2024-1048 | Grub2: grub2-set-bootflag can be abused by local (pseudo-)users |
| CVE-2024-20303 | A vulnerability in the multicast DNS (mDNS) gateway feature of Cisco IOS XE Software for Wireless LAN Controllers (WLCs) coul... |
| CVE-2024-21617 | Junos OS: BGP flap on NSR-enabled devices causes memory leak |
| CVE-2024-21977 | Incomplete cleanup after loading a CPU microcode patch may allow a privileged attacker to degrade the entropy of the RDRAND i... |
| CVE-2024-23672 | Apache Tomcat: WebSocket DoS with incomplete closing handshake |
| CVE-2024-26005 | PHOENIX CONTACT: Privilege gain through incomplete cleanup in CHARX Series |
| CVE-2024-36353 | Insufficient clearing of GPU global memory could allow a malicious process running on the same GPU to read left over memory v... |
| CVE-2024-45445 | Vulnerability of resources not being closed or released in the keystore module Impact: Successful exploitation of this vulner... |
| CVE-2024-50384 | A denial of service vulnerability exists in the NetX Component HTTP server functionality of STMicroelectronics X-CUBE-AZRTOS-... |
| CVE-2024-50385 | A denial of service vulnerability exists in the NetX Component HTTP server functionality of STMicroelectronics X-CUBE-AZRTOS-... |
| CVE-2024-53869 | NVIDIA Unified Memory driver for Linux contains a vulnerability where an attacker could leak uninitialized memory. A successf... |
| CVE-2024-53881 | NVIDIA vGPU software contains a vulnerability in the host driver, where it can allow a guest to cause an interrupt storm on t... |
| CVE-2024-6300 | Incomplete Cleanup in Conduit |
| CVE-2025-0032 | Improper cleanup in AMD CPU microcode patch loading could allow an attacker with local administrator privilege to load malici... |
| CVE-2025-0473 | Incomplete Cleanup vulnerability in PMB platform |
| CVE-2025-0726 | Eclipse ThreadX NetX Duo HTTP server denial of service |
| CVE-2025-20293 | A vulnerability in the Day One setup process of Cisco IOS XE Software for Catalyst 9800 Series Wireless Controllers for Cloud... |
| CVE-2025-21609 | SiYuan has an arbitrary file deletion vulnerability |
| CVE-2025-2260 | Eclipse ThreadX NetX Duo HTTP component server denial of service |
| CVE-2025-31650 | Apache Tomcat: DoS via malformed HTTP/2 PRIORITY_UPDATE frame |
| CVE-2025-43711 | Tunnelblick 3.5beta06 before 7.0, when incompletely uninstalled, allows attackers to execute arbitrary code as root (upon the... |
| CVE-2025-59781 | BIG-IP DNS cache vulnerability |
| CVE-2025-6338 | Possible denial of service with multiple incoming connections to a Schannel based server with a TLS backend |
| CVE-2025-64775 | Apache Struts: File leak in multipart request processing causes disk exhaustion (DoS) |
| CVE-2025-66675 | Apache Struts: File leak in multipart request processing causes disk exhaustion (DoS) - version ranges fixed |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.