Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-617
CWE-617 Reachable Assertion
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-04656 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04657 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04658 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04659 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04933 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04934 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04935 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-04936 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-09541 | Уязвимость операционной системы Gentoo Linux, позволяющая удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-09548 | Уязвимость операционной системы Gentoo Linux, позволяющая удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2017-01558 | Уязвимость операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2018-01578 | Уязвимость компонента Qualcomm Modem IP Stack операционной системы Android, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-01070 | Уязвимость функции TIFFWriteDirectorySec() библиотеки LibTIFF, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-02458 | Уязвимость функции JPC_NOMINALGAIN набора библиотек JasPer, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04095 | Уязвимость функции ReadOneJNGImage (coders/png.c) кроссплатформенной библиотеки для работы с графикой GraphicsMagick, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00560 | Уязвимость операционной системы RouterOS маршрутизаторов MikroTik, связанная с разыменованием нулевого указателя, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00737 | Уязвимость гипервизора Xen, связанная с неправильным учетом ресурсов внешних эмуляторов, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии |
| BDU:2020-00811 | Уязвимость микропрограммного обеспечения принтеров HP PageWide, HP OfficeJet Pro, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00813 | Уязвимость микропрограммного обеспечения принтеров HP PageWide, HP OfficeJet Pro, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защища... |
| BDU:2020-02399 | Уязвимость библиотеки для управления метаданными медиафайлов Exiv2, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-03322 | Уязвимость функции nxdomain-redirect DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-03323 | Уязвимость функции nxdomain-redirect DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-00073 | Уязвимость функции net_tx_pkt_add_raw_fragment из hw/net/net_tx_pkt.c эмулятора аппаратного обеспечения QEMU, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-00125 | Уязвимость компонента tsig.c DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01445 | Уязвимость функции Internal::TiffReader::visitDirectory в tiffvisitor.cpp библиотеки для управления метаданными медиафайлов Exiv2, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01725 | Уязвимость пакета создающий DNS-сервер Bind9, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01891 | Уязвимость функции dirvote_add_signatures_to_pending_consensus() браузера Tor, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-02674 | Уязвимость библиотеки libuv DNS-сервера Bind9, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-02773 | Уязвимость компонента GSS-TSIG сервера BIND, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-02777 | Уязвимость сервера DNS BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-02778 | Уязвимость компонента named сервера DNS BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03357 | Уязвимость функции MogrifyImageList компонента MagickWand/mogrify.c консольного графического редактора ImageMagick, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03377 | Уязвимость функции ReadMATImage компонента coders/mat.c консольного графического редактора ImageMagick, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03849 | Уязвимость криптографического модуля микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-04478 | Уязвимость процесса /ram/pckg/security/nova/bin/ipsec операционной системы RouterOS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-04573 | Уязвимость реализации функции Resource Public Key Infrastructure (RPKI) операционной системы Cisco IOS XR, позволяющая нарушителю вызвать сбой процесса Border Gateway Protocol (BGP) |
| BDU:2021-04629 | Уязвимость функции parser_parse_expression компонента js-parser-expr.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать от... |
| BDU:2021-04630 | Уязвимость функции parser_parse_statements компонента js-parser-statm.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать о... |
| BDU:2021-04631 | Уязвимость функции parser_parse_function_statement компонента js-parser-statm.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю в... |
| BDU:2021-04632 | Уязвимость функции parser_parse_object_initializer компонента js-parser-expr.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вы... |
| BDU:2021-04633 | Уязвимость функции parser_parse_source компонента js-parser.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обс... |
| BDU:2021-04634 | Уязвимость функции scanner_literal_is_created компонента js-scanner-util.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вызват... |
| BDU:2021-04635 | Уязвимость функции parser_parse_try_statement_end компонента js-parser-statm.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вы... |
| BDU:2021-04636 | Уязвимость функции parser_emit_cbc_backward_branch компонента js-parser-util.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вы... |
| BDU:2021-04637 | Уязвимость функции parser_parse_function_arguments компонента js-parser.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать... |
| BDU:2021-04639 | Уязвимость функции parser_parse_object_initializer компонента js-parser-expr.c движка JavaScript для Интернета вещей JerryScript и платформы для Интернета вещей IoT.js, связанная с недостатком использования функции assert(), позволяющая нарушителю вы... |
| BDU:2021-04704 | Уязвимость функции lys_node_free() синтаксического анализатора и инструментария языка моделирования данных YANG Libyang, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05172 | Уязвимость сервера Network Block Device(NBD) эмулятора аппаратного обеспечения QEMU, связанная с неправильным учетом ресурсов внешних эмуляторов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05200 | Уязвимость функции eth_get_gso_type компонента net/eth.c эмулятора аппаратного обеспечения QEMU, связанная с неправильным учетом ресурсов внешних эмуляторов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05257 | Уязвимость эмуляции USB EHCI эмулятора аппаратного обеспечения QEMU, связанная с неправильным учетом ресурсов внешних эмуляторов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05436 | Уязвимость веб-интерфейса программного обеспечения для защиты корпоративных сетей F-Secure Internet Gatekeeper, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05875 | Уязвимость функции dname_pkt_copy DNS-сервера Unbound, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-06226 | Уязвимость функции synth_cname() DNS-сервера Unbound, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-06246 | Уязвимость функции dname_pkt_copy DNS-сервера Unbound, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-06394 | Уязвимость открытой реализации протокола OpenLDAP, связанная с утверждением о достижимости, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2021-06400 | Уязвимость открытой реализации протокола OpenLDAP, связанная с достижимым утверждением при синтаксическом анализе, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2021-06405 | Уязвимость открытой реализации протокола OpenLDAP, связанная с недостатком использования функции assert(), позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2022-00230 | Уязвимость функции csnNormalize23() реализации протокола LDAP OpenLDAP, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00231 | Уязвимость сервера slapd реализации протокола LDAP OpenLDAP, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-01652 | Уязвимость драйвера PJSIP системы управления IP-телефонией Asterisk, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-01682 | Уязвимость библиотеки для управления метаданными медиафайлов Exiv2, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-01831 | Уязвимость компонента named сервера DNS BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-02089 | Уязвимость прокси-сервера Polipo, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-02680 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04051 | Уязвимость реализации сетевого протокола Gopher прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04381 | Уязвимость компонента Garbage Collector браузеров Firefox, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05400 | Уязвимость утилиты гипервизора Xen, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05404 | Уязвимость демона named DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05553 | Уязвимость компонента dict0dict.cc системы управления базами данных MariaDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05718 | Уязвимость библиотеки LibTIFF, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05957 | Уязвимость функции cv::RBaseStream::setPos компонента modules/imgcodecs/src/bitstrm.cpp библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV), позволяющ... |
| BDU:2022-05971 | Уязвимость компонента src/libavutil/mathematics.c мультимедийной библиотеки FFmpeg, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06389 | Уязвимость системы межпроцессного взаимодействия D-Bus, связанная с достижимостью утверждения в отладочных сборках, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06907 | Уязвимость компонента sql/item_cmpfunc.cc СУБД MariaDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06913 | Уязвимость компонента /row/row0mysql.cc СУБД MariaDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06919 | Уязвимость компонента sql/item_func.cc СУБД MariaDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-07362 | Уязвимость функции iconv библиотеки glibc, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01695 | Уязвимость компонента sps.cc реализации видеокодека h.265 Libde265, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-01723 | Уязвимость функции rate_init компонента rate.c аудиоредактора Sound eXchange, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01970 | Уязвимость системы управления базами данных (СУБД) Redis, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю отправить специально созданную команду MSETNX, вызвать отказ в обслуживании, завершив процесс сервера Redis |
| BDU:2023-02160 | Уязвимость сервера DNS BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02161 | Уязвимость сервера DNS BIND, связанная с неудачной проверкой утверждения, которая приводит к неполной очистке, позволяющая нарушителю выполнить атаку типа "отказ в обслуживании" |
| BDU:2023-02580 | Уязвимость реализации протокола IPv6 RPL ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02639 | Уязвимость компонента stb_image.h реализации кодировщика/декодера SIXEL Libsixel библиотеки для C/C++ Libstb, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02836 | Уязвимость функции peek_for_as4_capability программного средства реализации сетевой маршрутизации на Unix-подобных системах FRRouting, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03722 | Уязвимость системы управления базами данных (СУБД) Redis, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04459 | Уязвимость демона Routing Protocol Daemon (rpd) операционных систем Juniper Networks Junos OS и Juniper Networks Junos OS Evolved, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05376 | Уязвимость системы удалённого вызова процедур Google gRPC, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05394 | Уязвимость библиотеки Fast DDS, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05395 | Уязвимость библиотеки Fast DDS, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05660 | Уязвимость системы управления базами данных MariaDB , связанная с неправильной обработкой переноса условий из HAVING в WHEREE, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05661 | Уязвимость комопнента Item_field::used_tables/update_depend_map_for_order системы управления базами данных MariaDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05684 | Уязвимость компонента item_cmpfunc.h системы управления базами данных MariaDB, позволяющая нарушителю вызвать ошибку сегментации |
| BDU:2023-05859 | Уязвимость компонента pdfunite.cc библиотеки для рендеринга PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05860 | Уязвимость компонента Object::getString библиотеки для рендеринга PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05861 | Уязвимость функции PDFDoc::replacePageDict (PDFDoc.cc) библиотеки для рендеринга PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05883 | Уязвимость библиотеки VPN-протокола с использованием "IPsec" libreswan, связанная с достижимым утверждением, позволяющая нарушителю выполнить атаку типа "отказ в обслуживании" |
| BDU:2023-06007 | Уязвимость реализации протокола DoT (DNS over TLS) DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06651 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06786 | Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Junos OS и Junos OS Evolved, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07226 | Уязвимость реализации функции Resource Public Key Infrastructure (RPKI) операционных систем Cisco IOS XE, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07833 | Уязвимость сервера DNS BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08473 | Уязвимость функции avahi_rdata_parse() системы обнаружения сервисов в локальной сети Avahi, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08569 | Уязвимость компонента ACEManager операционной системы ALEOS беспроводных маршрутизаторов Sierra Wireless MP70, RV50x, RV55, LX40, LX60 ES450, GX450, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2023-08573 | Уязвимость компонента ACEManager операционной системы ALEOS беспроводных маршрутизаторов Sierra Wireless MP70, RV50x, RV55, LX40, LX60 ES450, GX450, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08580 | Уязвимость прокси-сервера Squid, связанная с недостаточной проверкой исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08592 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08593 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08594 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08595 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08596 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08597 | Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработкой ошибок, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08671 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с недостатками использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08673 | Уязвимость модема передачи данных (Data Modem) микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00003 | Уязвимость функции TiXmlDeclaration::Parse() компонента tinyxmlparser.cpp XML-парсера TinyXML, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00728 | Уязвимость функции btrfs_get_root_ref (fs/btrfs/disk-io.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00810 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-01590 | Уязвимость функции f2fs_rename() компонента f2fs ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02379 | Уязвимость функции VideoEncoderMetricsProvider() браузера Google Chrome, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02756 | Уязвимость системы межпроцессорного взаимодействия D-Bus, связанная с ошибками контроля доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02902 | Уязвимость компонента named сервера DNS BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03289 | Уязвимость прокси-сервера Envoy, связанная с некорректной проверкой ошибочного значения указателя, позволяющая нарушителю вызвать аварийное завершение работы приложения |
| BDU:2024-03602 | Уязвимость демона кэширования сервера имен nscd системной библиотеки GNU C Library, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04269 | Уязвимость DNS-сервера BIND, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04885 | Уязвимость библиотеки VPN-протокола с использованием "IPsec" libreswan, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04887 | Уязвимость функции update_sctp_checksum() эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06134 | Уязвимость DNS-сервера BIND, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06284 | Уязвимость функции kmalloc() в компоненте mm/slub ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06999 | Уязвимость функции avahi_dns_packet_append_record() системы обнаружения сервисов в локальной сети Avahi, связанная с достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07011 | Уязвимость функции avahi_escape_label() системы обнаружения сервисов в локальной сети Avahi, связанная с достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07013 | Уязвимость функции dbus_set_host_name() системы обнаружения сервисов в локальной сети Avahi, связанная с достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07083 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08255 | Уязвимость системы обнаружения и предотвращения вторжений Suricata связанная с ошибками при проверке JA4-идентификатора, предоставляющего информацию о прикладном протоколе, который будет использован между клиентом и сервером, позволяющая нарушителю в... |
| BDU:2024-08676 | Уязвимость компонента btrfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08773 | Уязвимость функции usb_ep_get() (hw/net/core.c) эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09061 | Уязвимость компонентов error_resilience.c, h263dec.c, mpeg4videodec.c мультимедийной библиотеки FFmpeg, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09202 | Уязвимость компонента tools ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09396 | Уязвимость компонентов drm/i915/gt ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-10396 | Уязвимость функции qd_check_sync() компонента imon ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00526 | Уязвимость функции qcom_pcie_perst_deassert() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00535 | Уязвимость компонента tegra194 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00906 | Уязвимость функции tcpedit_dlt_cleanup() редактора PCAP-файлов tcprewrite утилиты редактирования и воспроизведения PCAP-файлов Tcpreplay, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00907 | Уязвимость функции cidr2cidr() обработчика PCAP-файлов tcpprep утилиты редактирования и воспроизведения PCAP-файлов Tcpreplay, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01414 | Уязвимость компонента mm ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02164 | Уязвимость библиотеки фильтрации аудио/видео libavfilter мультимедийной библиотеки FFmpeg, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02972 | Уязвимость функции closure_put_after_sub() модуля drivers/md/bcache/closure.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03491 | Уязвимость компонента mptcp ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03952 | Уязвимость функции avahi_alternative_host_name() системы обнаружения сервисов в локальной сети Avahi, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03967 | Уязвимость функции display_debug_names() программного средства разработки GNU Binutils, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03981 | Уязвимость команды PLAY группы библиотек для потоковой передачи мультимедиа Live555, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04332 | Уязвимость компонента maple_tree ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04385 | Уязвимость функции poll_cci файла drivers/usb/typec/ucsi/ucsi.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04545 | Уязвимость функции on_frame_recv_callback() (soup-server-message-io-http1.c) библиотеки libsoup графического интерфейса GNOME, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05117 | Уязвимость компонента media ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05182 | Уязвимость драйвера Bluetooth FW микропрограммного обеспечения микросхем MediaTek, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05183 | Уязвимость функции static_call_module_notify() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05918 | Уязвимость функции btrfs_lookup_extent_info() файловой системы btrfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06096 | Уязвимость компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06458 | Уязвимость модуля drivers/gpu/drm/amd/display/dc/dml/dml_inline_defs.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08077 | Уязвимость компонента hugetlb.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08090 | Уязвимость функции ovl_verify_area() компонента fs/overlayfs/copy_up.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08695 | Уязвимость функции mod_proxy_http2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08744 | Уязвимость демона Routing Protocol Daemon (RPD) операционных систем Juniper Networks Junos OS и Junos OS Evolved, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08751 | Уязвимость демона Routing Protocol Daemon (RPD) операционных систем Juniper Networks Junos OS и Junos OS Evolved, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09845 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09869 | Уязвимость программного сервера для обработки SIP-трафика drachtio-server, связанная с недостижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10256 | Уязвимость функций rcu_read_lock_held(), BPF_CALL_4() and BPF_CALL_2() (kernel/bpf/helpers.c) ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-10811 | Уязвимость инструмента измерения пропускной способности сети Iperf3, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10833 | Уязвимость универсального генератора парсеров GNU Bison, связанная с использованием функции assert() или похожего оператора, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11257 | Уязвимость функции tm_to_datetime библиотеки datetime.c вычислительной платформы Tarantool, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11269 | Уязвимость балансировщика нагрузки и прокси для DNS-трафика DNSdist, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11394 | Уязвимость функции qxl_set_mode эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11408 | Уязвимость функции cairo_debug_reset_static_data() библиотеки для рендеринга PDF-файлов Poppler, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12236 | Уязвимость компонента net/sched/sch_skbprio.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12237 | Уязвимость компонента mac.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12238 | Уязвимость компонента drivers/net/tap.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12517 | Уязвимость функции Token Scanner::peek компонента scanner.cpp библиотеки для работы с YAML на C++ Yaml-cpp, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12586 | Уязвимость DHCP-сервера с открытым исходным кодом Kea, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12892 | Уязвимость функции qed_mcp_trace_dump() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13131 | Уязвимость модуля torch.nn.Fold фреймворка машинного обучения PyTorch, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13159 | Уязвимость функции run_jq_tests() файла jq_test.c JSON-процессора jq, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13319 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13320 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13321 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13322 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13323 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13324 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13325 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13326 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13327 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13328 | Уязвимость компонента управления мобильностью MME средства создания и управления мобильной сетью NR/LTE Open5GS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14325 | Уязвимость функции fsl_ifc_ctrl_probe() модуля drivers/memory/fsl_ifc.c драйвера контроллера памяти ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2025-14329 | Уязвимость функции ubifs_alloc_inode() модуля fs/ubifs/super.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14600 | Уязвимость функции setup_smap() модуля arch/x86/kernel/cpu/common.c на платформе x86 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на доступность защищаемой информации |
| BDU:2025-14609 | Уязвимость функции sync_file_merge() модуля drivers/dma-buf/sync_file.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14799 | Уязвимость сервера системы управления базами данных MongoDB, позволяющая нарушителю оказать воздействие на доступность защищаемой информации |
| BDU:2025-14982 | Уязвимость компонента net/core/gen_estimator.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14983 | Уязвимость компонентов net/mlx5 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14984 | Уязвимость драйвера fbnic ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15022 | Уязвимость ядра операционной системы Linux, связанная с недостатком использования функции assert(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15230 | Уязвимость функций ovl_encode_real_fh() (fs/overlayfs/copy_up.c) и show_mark_fhandle() (fs/notify/fdinfo.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15928 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с неконтролируемым достижимым утверждением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16127 | Уязвимость функции relocate_one_folio() модуля fs/btrfs/relocation.c поддержки файловой системы btrfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00146 | Уязвимость программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-12168 | The access_pmu_evcntr function in arch/arm64/kvm/sys_regs.c in the Linux kernel before 4.8.11 allows privileged KVM guest OS... |
| CVE-2017-7478 | OpenVPN version 2.3.12 and newer is vulnerable to unauthenticated Denial of Service of server via received large control pack... |
| CVE-2017-7479 | OpenVPN versions before 2.3.15 and before 2.4.2 are vulnerable to reachable assertion when packet-ID counter rolls over resul... |
| CVE-2017-7539 | An assertion-failure flaw was found in Qemu before 2.10.1, in the Network Block Device (NBD) server's initial connection nego... |
| CVE-2018-12543 | In Eclipse Mosquitto versions 1.5 to 1.5.2 inclusive, if a message is published to Mosquitto that has a topic starting with $... |
| CVE-2019-0003 | Junos OS: A flowspec BGP update with a specific term-order causes routing protocol daemon (rpd) process to crash with a core. |
| CVE-2019-14851 | A denial of service vulnerability was discovered in nbdkit. A client issuing a certain sequence of commands could possibly tr... |
| CVE-2019-5020 | An exploitable denial of service vulnerability exists in the object lookup functionality of Yara 3.8.1. A specially crafted b... |
| CVE-2020-10761 | An assertion failure issue was found in the Network Block Device(NBD) Server in all QEMU versions before QEMU 5.0.1. This fla... |
| CVE-2020-15194 | Denial of Service in Tensorflow |
| CVE-2020-15197 | Denial of Service in Tensorflow |
| CVE-2020-25710 | A flaw was found in OpenLDAP in versions before 2.4.56. This flaw allows an attacker who sends a malicious packet processed b... |
| CVE-2020-25723 | A reachable assertion issue was found in the USB EHCI emulation code of QEMU. It could occur while processing USB requests du... |
| CVE-2020-6097 | An exploitable denial of service vulnerability exists in the atftpd daemon functionality of atftp 0.7.git20120829-3.1+b1. A s... |
| CVE-2021-1422 | Cisco Adaptive Security Appliance Software Release 9.16.1 and Cisco Firepower Threat Defense Software Release 7.0.0 IPsec Den... |
| CVE-2021-1440 | Cisco IOS XR Software BGP Resource Public Key Infrastructure Denial of Service Vulnerability |
| CVE-2021-20217 | A flaw was found in Privoxy in versions before 3.0.31. An assertion failure triggered by a crafted CGI request may lead to de... |
| CVE-2021-20272 | A flaw was found in privoxy before 3.0.32. An assertion failure could be triggered with a crafted CGI request leading to serv... |
| CVE-2021-20286 | A flaw was found in libnbd 1.7.3. An assertion failure in nbd_unlocked_opt_go in ilb/opt.c may lead to denial of service. |
| CVE-2021-24029 | A packet of death scenario is possible in mvfst via a specially crafted message during a QUIC session, which causes a crash v... |
| CVE-2021-27498 | EIPStackGroup OpENer Ethernet/IP Reachable Assertion |
| CVE-2021-27500 | EIPStackGroup OpENer Ethernet/IP Reachable Assertion |
| CVE-2021-29543 | CHECK-fail in `CTCGreedyDecoder` |
| CVE-2021-29552 | CHECK-failure in `UnsortedSegmentJoin` |
| CVE-2021-29561 | CHECK-fail in `LoadAndRemapMatrix` |
| CVE-2021-29562 | CHECK-fail in `tf.raw_ops.IRFFT` |
| CVE-2021-29563 | CHECK-fail in `tf.raw_ops.RFFT` |
| CVE-2021-29567 | Lack of validation in `SparseDenseCwiseMul` |
| CVE-2021-32037 | User may trigger invariant when allowed to send commands directly to shards |
| CVE-2021-32815 | Denial of service due to assertion failure in crwimage_int.cpp |
| CVE-2021-3430 | BT: Assertion failure on repeated LL_CONNECTION_PARAM_REQ |
| CVE-2021-3431 | BT: Assertion failure on repeated LL_FEATURE_REQ |
| CVE-2021-3454 | Truncated L2CAP K-frame causes assertion failure |
| CVE-2021-3502 | A flaw was found in avahi 0.8-5. A reachable assertion is present in avahi_s_host_name_resolver_start function allowing a loc... |
| CVE-2021-37644 | `std::abort` raised from `TensorListReserve` in TensorFlow |
| CVE-2021-41200 | Incomplete validation in `tf.summary.create_file_writer` |
| CVE-2021-43849 | DoS vulnerability |
| CVE-2022-20694 | Cisco IOS XE Software Border Gateway Protocol Resource Public Key Infrastructure Denial of Service Vulnerability |
| CVE-2022-22060 | Reachable Assertion in Modem |
| CVE-2022-23564 | Reachable Assertion in Tensorflow |
| CVE-2022-23565 | `CHECK`-failures in Tensorflow |
| CVE-2022-23571 | Reachable Assertion in Tensorflow |
| CVE-2022-23579 | `CHECK`-failures during Grappler's `SafeToRemoveIdentity` in Tensorflow |
| CVE-2022-23581 | `CHECK`-failures during Grappler's `IsSimplifiableReshape` in Tensorflow |
| CVE-2022-23582 | `CHECK`-failures in `TensorByteSize` in Tensorflow |
| CVE-2022-23583 | `CHECK`-failures in binary ops in Tensorflow |
| CVE-2022-23586 | Multiple `CHECK`-fails in `function.cc` in Tensorflow |
| CVE-2022-23588 | `CHECK`-fails due to attempting to build a reference tensor in Tensorflow |
| CVE-2022-24272 | MongoDB Server (mongod) may crash in response to unexpected requests |
| CVE-2022-24777 | Denial of Service via reachable assertion in grpc-swift |
| CVE-2022-2719 | In ImageMagick, a crafted file could trigger an assertion failure when a call to WriteImages was made in MagickWand/operation... |
| CVE-2022-29228 | Reachable assertion in Envoy |
| CVE-2022-31009 | DoS vulnerability: Invalid Accent Colors |
| CVE-2022-31100 | Reachable Assertion in rulex |
| CVE-2022-33244 | Reachable assertion in Modem |
| CVE-2022-33250 | Reachable assertion in Modem |
| CVE-2022-33251 | Reachable assertion in Modem |
| CVE-2022-33254 | Reachable assertion in Modem |
| CVE-2022-33272 | Reachable assertion in Modem |
| CVE-2022-34144 | Reachable assertion in Modem |
| CVE-2022-35934 | `CHECK` failure in tf.reshape in Tensorflow |
| CVE-2022-35935 | `CHECK` failure in `SobolSample` via missing validation in TensorFlow |
| CVE-2022-35941 | `CHECK` failure in `AvgPoolOp` in Tensorflow |
| CVE-2022-35952 | `CHECK` failures in `UnbatchGradOp` in TensorFlow |
| CVE-2022-35959 | `CHECK` failures in `AvgPool3DGrad` in TensorFlow |
| CVE-2022-35960 | `CHECK` failure in `TensorListReserve` in TensorFlow |
| CVE-2022-35963 | `CHECK` failures in `FractionalAvgPoolGrad` in TensorFlow |
| CVE-2022-35968 | `CHECK` fail in `AvgPoolGrad` in TensorFlow |
| CVE-2022-35969 | `CHECK` fail in `Conv2DBackpropInput` in TensorFlow |
| CVE-2022-35971 | `CHECK` fail in `FakeQuantWithMinMaxVars` in TensorFlow |
| CVE-2022-35981 | `CHECK` fail in `FractionalMaxPoolGrad` in TensorFlow |
| CVE-2022-35983 | `CHECK` fail in `Save` and `SaveSlices` in TensorFlow |
| CVE-2022-35984 | `CHECK` fail in `ParameterizedTruncatedNormal` in TensorFlow |
| CVE-2022-35985 | `CHECK` fail in `LRNGrad` in TensorFlow |
| CVE-2022-35987 | `CHECK` fail in `DenseBincount` in TensorFlow |
| CVE-2022-35988 | `CHECK` fail in `tf.linalg.matrix_rank` in TensorFlow |
| CVE-2022-35989 | `CHECK` fail in `MaxPool` in TensorFlow |
| CVE-2022-35990 | `CHECK` fail in `FakeQuantWithMinMaxVarsPerChannelGradient` in TensorFlow |
| CVE-2022-35991 | `CHECK` fail in `TensorListScatter` and `TensorListScatterV2` in TensorFlow |
| CVE-2022-35992 | `CHECK` fail in `TensorListFromTensor` in TensorFlow |
| CVE-2022-35993 | `CHECK` fail in `SetSize` in TensorFlow |
| CVE-2022-35994 | `CHECK` fail in `CollectiveGather` in TensorFlow |
| CVE-2022-35995 | `CHECK` fail in `AudioSummaryV2` in TensorFlow |
| CVE-2022-35997 | `CHECK` fail in `tf.sparse.cross` in TensorFlow |
| CVE-2022-35998 | `CHECK` fail in `EmptyTensorList` in TensorFlow |
| CVE-2022-35999 | `CHECK` fail in `Conv2DBackpropInput` in TensorFlow |
| CVE-2022-36001 | `CHECK` fail in `DrawBoundingBoxes` in TensorFlow |
| CVE-2022-36002 | `CHECK` fail in `Unbatch` in TensorFlow |
| CVE-2022-36003 | `CHECK` fail in `RandomPoissonV2` in TensorFlow |
| CVE-2022-36004 | `CHECK` fail in `tf.random.gamma` in TensorFlow |
| CVE-2022-36005 | `CHECK` fail in `FakeQuantWithMinMaxVarsGradient` in TensorFlow |
| CVE-2022-36012 | Assertion fail on MLIR empty edge names in TensorFlow |
| CVE-2022-36016 | `CHECK`-fail in `tensorflow::full_type::SubstituteFromAttrs` in TensorFlow |
| CVE-2022-36018 | `CHECK` fail in `RaggedTensorToVariant` in TensorFlow |
| CVE-2022-36019 | `CHECK` fail in `FakeQuantWithMinMaxVarsPerChannel` in TensorFlow |
| CVE-2022-36026 | `CHECK` fail in `QuantizeAndDequantizeV3` in TensorFlow |
| CVE-2022-40504 | Reachable assertion in Modem |
| CVE-2022-40508 | Reachable assertion in Modem |
| CVE-2022-40527 | Reachable Assertion in WLAN Embedded SW |
| CVE-2022-40538 | Reachable assertion in Modem |
| CVE-2022-41893 | `CHECK_EQ` fail in `tf.raw_ops.TensorListResize` in Tensorflow |
| CVE-2023-1428 | Denial-of-Service in gRPC |
| CVE-2023-2156 | A flaw was found in the networking subsystem of the Linux kernel within the handling of the RPL protocol. This issue results... |
| CVE-2023-21646 | Reachable Assertion in Modem |
| CVE-2023-21653 | Reachable Assertion in Modem |
| CVE-2023-24843 | Reachable Assertion in Modem |
| CVE-2023-28856 | `HINCRBYFLOAT` can be used to crash a redis-server process |
| CVE-2023-3301 | Triggerable assertion due to race condition in hot-unplug |
| CVE-2023-33041 | Reachable assertion in WLAN Firmware |
| CVE-2023-33043 | Reachable Assertion in Modem |
| CVE-2023-33044 | Reachable Assertion in Data Modem |
| CVE-2023-33095 | Reachable Assertion in Multi-Mode Call Processor |
| CVE-2023-33096 | Reachable Assertion in Multi-Mode Call Processor |
| CVE-2023-33199 | malformed proposed intoto v0.0.2 entries can cause a panic in Rekor |
| CVE-2023-36840 | Junos OS and Junos OS Evolved: An rpd crash occurs when a specific L2VPN command is run |
| CVE-2023-38469 | Reachable assertion in avahi_dns_packet_append_record |
| CVE-2023-38470 | Reachable assertion in avahi_escape_label |
| CVE-2023-38471 | Reachable assertion in dbus_set_host_name |
| CVE-2023-38472 | Reachable assertion in avahi_rdata_parse |
| CVE-2023-38473 | Reachable assertion in avahi_alternative_host_name |
| CVE-2023-39534 | Malformed GAP submessage triggers assertion failure |
| CVE-2023-39949 | Improper validation of sequence numbers leading to remotely reachable assertion failure |
| CVE-2023-40462 | Improper input leads to DoS |
| CVE-2023-43523 | Reachable Assertion in WLAN Firmware |
| CVE-2023-43529 | Reachable Assertion in Data Modem |
| CVE-2023-44175 | Junos OS and Junos OS Evolved: Receipt of a specific genuine PIM packet causes RPD crash |
| CVE-2023-44386 | Incorrect request error handling triggers server crash in Vapor |
| CVE-2023-49286 | Denial of Service in Helper Process management |
| CVE-2023-5871 | Libnbd: malicious nbd server may crash libnbd |
| CVE-2024-10455 | Reachable Assertion in µD3TN |
| CVE-2024-20094 | In Modem, there is a possible system crash due to a missing bounds check. This could lead to remote denial of service with no... |
| CVE-2024-20139 | In Bluetooth firmware, there is a possible firmware asssert due to improper handling of exceptional conditions. This could le... |
| CVE-2024-20147 | In Bluetooth FW, there is a possible reachable assertion due to improper exception handling. This could lead to remote denial... |
| CVE-2024-20152 | In wlan STA driver, there is a possible reachable assertion due to improper exception handling. This could lead to local deni... |
| CVE-2024-23350 | Reachable Assertion in Multi Mode Call Processor |
| CVE-2024-23385 | Reachable Assertion in Modem |
| CVE-2024-32475 | Envoy RELEASE_ASSERT using auto_sni with :authority header > 255 bytes |
| CVE-2024-33601 | nscd: netgroup cache may terminate daemon on memory allocation failure |
| CVE-2024-3374 | MongoDB Server (mongod) may crash when generating ftdc |
| CVE-2024-3567 | Qemu-kvm: net: assertion failure in update_sctp_checksum() |
| CVE-2024-39697 | phonenumber panics on parsing crafted phonenumber inputs |
| CVE-2024-39949 | A vulnerability has been found in Dahua products. Attackers can send carefully crafted data packets to the interface with vul... |
| CVE-2024-45396 | Quicly assertion failures |
| CVE-2024-45403 | H2O assertion failure when HTTP/3 requests are cancelled |
| CVE-2024-45795 | Suricata detect/datasets: reachable assertion with unimplemented rule option |
| CVE-2024-47522 | Suricata ja4: invalid alpn leads to panic |
| CVE-2024-53856 | rPGP Panics on Malformed Untrusted Input |
| CVE-2024-7138 | Denial of Service in Silicon Labs RS9116 Bluetooth SDK |
| CVE-2024-7139 | Denial of Service in Silicon Labs RS9116 Bluetooth SDK |
| CVE-2024-8354 | Qemu-kvm: usb: assertion failure in usb_ep_get() |
| CVE-2024-8361 | DoS caused due to wrong hash length returned for SHA2/224 algorithm |
| CVE-2024-8768 | Vllm: a completions api request with an empty prompt will crash the vllm api server. |
| CVE-2025-20666 | In Modem, there is a possible system crash due to an uncaught exception. This could lead to remote denial of service, if a UE... |
| CVE-2025-21452 | Reachable Assertion in Modem |
| CVE-2025-24798 | Meshtastic crashes via an unimplemented routing module reply |
| CVE-2025-27066 | Reachable Assertion in WLAN Firmware |
| CVE-2025-27073 | Reachable Assertion in WLAN Firmware |
| CVE-2025-30034 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (All versions < V3.3). Affected devices do not properly... |
| CVE-2025-31160 | atop through 2.11.0 allows local users to cause a denial of service (e.g., assertion failure and application exit) or possibl... |
| CVE-2025-36512 | A denial of service vulnerability exists in the Bloomberg Comdb2 8.1 database when handling a distributed transaction heartbe... |
| CVE-2025-40777 | A possible assertion failure when 'stale-answer-client-timeout' is set to '0' |
| CVE-2025-41067 | Reachable Assertion vulnerability in Open5GS |
| CVE-2025-41068 | Reachable Assertion vulnerability in Open5GS |
| CVE-2025-4321 | DoS in RS9116W-WiSeConnect L2CAP protocol due to reception of malformed packets |
| CVE-2025-46354 | A denial of service vulnerability exists in the Distributed Transaction Commit/Abort Operation functionality of Bloomberg Com... |
| CVE-2025-46705 | A denial of service vulnerability exists in the g_assert_not_reached functionality of Entr'ouvert Lasso 2.5.1 and 2.8.2.... |
| CVE-2025-47229 | libpspp-core.a in GNU PSPP through 2.0.1 allows attackers to cause a denial of service (var_set_leave_quiet assertion failure... |
| CVE-2025-47370 | Reachable Assertion in BT Controller |
| CVE-2025-49630 | Apache HTTP Server: mod_proxy_http2 denial of service |
| CVE-2025-50422 | Cairo through 1.18.4, as used in Poppler through 25.08.0, has an "unscaled->face == NULL" assertion failure for _cairo_ft_uns... |
| CVE-2025-52958 | Junos OS and Junos OS Evolved: When route validation is enabled, BGP connection establishment failure causes RPD crash |
| CVE-2025-52964 | Junos OS and Junos OS Evolved: Receipt of a specific BGP UPDATE causes an rpd crash on devices with BGP multipath configured |
| CVE-2025-54350 | In iperf before 3.19.1, iperf_auth.c has a Base64Decode assertion failure and application exit upon a malformed authenticatio... |
| CVE-2025-5501 | Open5GS NGAP PathSwitchRequest Message ngap-handler.c ngap_handle_path_switch_request_transfer assertion |
| CVE-2025-5520 | Open5GS AMF/MME emm_state_authentication assertion |
| CVE-2025-59029 | Internal logic flaw in cache management can lead to a denial of service in PowerDNS Recursor |
| CVE-2025-59530 | quic-go has Client Crash Due to Premature HANDSHAKE_DONE Frame |
| CVE-2025-6273 | WebAssembly wabt binary-reader-objdump.cc LogOpcode assertion |
| CVE-2025-6497 | HTACG tidy-html5 parser.c prvTidyParseNamespace assertion |
| CVE-2025-6536 | Tarantool datetime.c tm_to_datetime assertion |
| CVE-2025-66379 | Pexip Infinity before 39.0 has Improper Input Validation in the media implementation, allowing a remote attacker to trigger a... |
| CVE-2025-66443 | Pexip Infinity 35.0 through 38.1 before 39.0, in non-default configurations that use Direct Media for WebRTC, has Improper In... |
| CVE-2025-68276 | Avahi has a reachable assertion in avahi_wide_area_scan_cache |
| CVE-2025-68468 | Avahi has a reachable assertion in lookup_multicast_callback |
| CVE-2025-68471 | Avahi has a reachable assertion in lookup_start |
| CVE-2025-6952 | Open5GS AMF Service amf-sm.c amf_state_operational assertion |
| CVE-2025-7485 | Open5GS SCTP Partial Message recv_handler assertion |
| CVE-2025-8698 | Open5GS AMF Service nsmf-handler.c amf_nsmf_pdusession_handle_release_sm_context assertion |
| CVE-2025-8733 | Без описания... |
| CVE-2025-8804 | Open5GS AMF ngap_build_downlink_nas_transport assertion |
| CVE-2025-8836 | JasPer JPEG2000 Encoder jpc_enc.c jpc_floorlog2 assertion |
| CVE-2025-9301 | cmake cmForEachCommand.cxx ReplayItems assertion |
| CVE-2025-9403 | jqlang jq JSON jq_test.c run_jq_tests assertion |
| CVE-2025-9405 | Open5GS gmm-sm.c gmm_state_exception assertion |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230526-16 | 26.05.2023 | Отказ в обслуживании в Debian Linux |
| VULN:20231208-4 | 08.12.2023 | Межсайтовый скриптинг в Sierra Wireless AirLink with ALEOS firmware |
| VULN:20240617-7 | 17.06.2024 | Отказ в обслуживании в Azure Stack |
| VULN:20240617-8 | 17.06.2024 | Отказ в обслуживании в Azure Stack |
| VULN:20240619-33 | 19.06.2024 | Отказ в обслуживании в Azure Stack |
| VULN:20240619-34 | 19.06.2024 | Отказ в обслуживании в Azure Stack |
| VULN:20241106-39 | 06.11.2024 | Отказ в обслуживании в Qualcomm chipsets |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.