Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-674
CWE-674 Uncontrolled Recursion
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-07451 | Уязвимость микропрограммного обеспечения Ethernet-коммутаторов Moxa PT-508, PT-7728, PT-7828, MDS-G4012, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2015-09840 | Уязвимость системы автоматизации деятельности предприятия 1С:Предприятие, позволяющая злоумышленнику вызвать отказ в обслуживании |
| BDU:2018-01270 | Уязвимость функций xmlParserEntityCheck и xmlParseAttValueComplex библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2018-01271 | Уязвимость функции xmlStringGetNodeList библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-01432 | Уязвимость системы управления базами данных SQLite, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-02047 | Уязвимость библиотеки microdns программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код |
| BDU:2020-04530 | Уязвимость библиотеки glibc, связанная с неконтролируемой рекурсии при поиске совпадений по регулярному выражению, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-04642 | Уязвимость DNS-сервера XACK DNS, вызванная неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-04986 | Уязвимость функции smb_fdata() утилиты для перехвата и анализа сетевого трафика tcpdump, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-05783 | Уязвимость почтового сервера Dovecot, вызванная неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03169 | Уязвимость гипервизора Xen, вызванная неконтролируемой рекурсией, позволяющая нарушителю вызвать аварийное завершение работы приложения |
| BDU:2021-03616 | Уязвимость библиотеки для регулярных выражений Oniguruma, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03917 | Уязвимость системы управления Moodle, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-04681 | Уязвимость функции lyxml_parse_mem() синтаксического анализатора и инструментария языка моделирования данных YANG Libyang, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05193 | Уязвимость компонента ati-vga эмулятора аппаратного обеспечения QEMU, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05254 | Уязвимость функции сортировки библиотеки для просмотра, создания, редактирования DjVu-файлов DjVuLibre, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-06325 | Уязвимость библиотеки журналирования Java-программ Log4j, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00029 | Уязвимость службы Bluetooth DHT анализатора трафика компьютерных сетей Wireshark, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00191 | Уязвимость модуля Apache для усиления безопасности веб-приложений modsecurity-apache, связанная с ошибками при обработке JSON-объектов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00228 | Уязвимость функции ntfs_attr_pwrite драйвера файловой системы NTFS для модуля FUSE NTFS-3G, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00277 | Уязвимость программы для анализа трафика wireshark, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-02135 | Уязвимость реализаций спецификации передачи данных в промышленных сетях OPC UA .NET Standard и OPC UA .NET Legacy, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03240 | Уязвимость текстового редактора Vim, вызванная неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05522 | Уязвимость пакета compress/gzip языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05644 | Уязвимость компонента eepro100 i8255x эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06392 | Уязвимость серверной библиотеки Juniper среды выполнения запросов GraphQL, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06492 | Уязвимость компонента Decoder.Skip языка программирования Go, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06898 | Уязвимость среды с открытым исходным кодом для разработки UEFI EDK2, связанная с неконтролируемой рекурсией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-01750 | Уязвимость компонента lib/nlattr.c ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03437 | Уязвимость реализации сетевого протокола Kerberos операционных систем Debian GNU/Linux, Red Hat Enterprise Linux, Ubuntu, Fedora, Альт 8 СП, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03810 | Уязвимость компонента libqpdf/QPDFWriter.cc утилиты командной строки для преобразования PDF документов QPDF, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03815 | Уязвимость функции ezxml_ent_ok библиотеки для синтаксического анализа XML-документов ezXML, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03820 | Уязвимость функции d_count_templates_scopes компонента libiberty/cp-demangle.c программного средства разработки GNU Binutils, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04977 | Уязвимость функции email.utils.parseaddr интерпретатора языка программирования Python, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05397 | Уязвимость библиотеки обработки JSON-данных Json-smart, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05619 | Уязвимость сетевого программного средства Netty связана с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05627 | Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, связанная с переполнением буфера на стеке, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05713 | Уязвимость анализатора трафика компьютерных сетей Wireshark, вызванная неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06079 | Уязвимость демона named DNS-сервера BIND, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06641 | Уязвимость библиотеки для рендеринга PDF-файлов Poppler, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07618 | Уязвимость функции cr_parser_parse_any_core компонента cr-parser.c библиотеки для работы с каскадными таблицами css2 Libcroco, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2023-07641 | Уязвимость библиотеки обработки изображений OpenImageIO, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07791 | Уязвимость компонента libiberty/cp-demangle.c программного средства разработки GNU Binutils, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07808 | Уязвимость функции find_abstract_instance компонента bfd/dwarf2.c программного средства разработки GNU Binutils, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07872 | Уязвимость функции Catalog::findDestInTree() программного обеспечения для просмотра PDF Xpdf, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08100 | Уязвимость Java-библиотеки для преобразования объектов из XML в JSON формат Jettison, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08827 | Уязвимость функции follow_x_forwarded_for() прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08835 | Уязвимость сценария backup_xi.sh инструмента для мониторинга Nagios XI, позволяющая нарушителю удалить произвольные файлы |
| BDU:2024-01551 | Уязвимость компоненты Open vSwitch ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02061 | Уязвимость функции HttpStateData() декодера Chunked прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02586 | Уязвимость файлов systemd-tmpfiles подсистемы инициализации и управления службами Systemd, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02636 | Уязвимость реализации протокола LISP (Locator ID Separation Protocol) операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03157 | Уязвимость реализации MessagePack NodeJS/JavaScript msgpackr, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03581 | Уязвимость хранилища информации Xenstore гипервизора Xen, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03770 | Уязвимость функции pfn_valid() в модуле include/linux/mmzone.h подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04861 | Уязвимость компонента pdf_mark_list_push программы просмотра PDF-файлов MuPDF, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05265 | Уязвимость реализации протокола безопасной загрузки Secure Boot операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-07020 | Уязвимость функции Parse языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07025 | Уязвимость функции Decoder.Decode языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07026 | Уязвимость функции Parse языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07139 | Уязвимость функции H5E_printf_stack() в файле H5Eint.c библиотеки HDF5, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07150 | Уязвимость в файле H5Eint.c. библиотеки HDF5, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08508 | Уязвимость программной платформы создания веб-приложений Next.js, связанная с неконтролируемой рекурсией. позволяющая нарушителю вызывать отказ в обслуживании |
| BDU:2024-10368 | Уязвимость функций sock_map_close,destroy,unhash() ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2025-01019 | Уязвимость функции sqlparse.parse() модуля парсера SQL для Python Sqlparse, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01813 | Уязвимость компонента vsock ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02556 | Уязвимость функции sqfs_size загрузчика U-Boot, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-06056 | Уязвимость пакетного менеджера для Kubernetes Helm, связанная с переполнением буфера в стеке, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08956 | Уязвимость функции ClassUtils.getClass() библиотеки Apache Commons Lang для языка программирования Java, позволяющая нарушителю вызывать отказ в обслуживании |
| BDU:2025-09089 | Уязвимость сервера системы управления базами данных MongoDB, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09650 | Уязвимость программного обеспечения для развертывания и выполнения моделей искусственного интеллекта NVIDIA Triton Inference Server (ранее TensorRT Inference Server), связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обсл... |
| BDU:2025-09813 | Уязвимость функции clip_push() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10661 | Уязвимость утилиты pdfseparate библиотеки для отображения PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10912 | Уязвимость компонентов Bundle Protocol и CBOR анализатора трафика компьютерных сетей Wireshark, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10926 | Уязвимость протокола сериализации данных Protobuf, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызывать отказ в обслуживании |
| BDU:2025-11246 | Уязвимость утилиты mutool clean программы просмотра PDF-файлов MuPDF, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11255 | Уязвимость функции setMaxTCPQueriesPerConnection() программного обеспечения PowerDNS DNSdist, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12273 | Уязвимость компонента mtk_star_emac.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12274 | Уязвимость функции demangle_const компонента libiberty/rust-demangle.c компилятора GCC, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12503 | Уязвимость функции SingleDocParser::HandleFlowSequence библиотеки для работы с YAML на C++ Yaml-cpp, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13425 | Уязвимость функции renderPattern() кроссплатформенного фреймворка для разработки программного обеспечения Qt, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13581 | Уязвимость загрузчика U-Boot, связанная с неконтролируемой рекурсией, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2025-13725 | Уязвимость функции xe_exec_queue_create_class() модуля drivers/gpu/drm/xe/xe_exec_queue.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2025-13917 | Уязвимость набора библиотек OTP языка программирования Erlang, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14665 | Уязвимость модуля net/netfilter/nft_objref.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15034 | Уязвимость функции afs_open_socket() модуля fs/afs/rxrpc.c поддержки файловой системы Andrew (AFS) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15100 | Уязвимость библиотеки rapidjson парсера json2pb RPC-фреймворка Apache bRPC, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15270 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с неконтролируемой рекурсией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15386 | Уязвимость функции handle_kernel_stack_overflow() модуля arch/riscv/include/asm/asm-prototypes.h на процессорах с архитектурой RISC-V ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15552 | Уязвимость компонента eventpoll ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15553 | Уязвимость компонента net/sched ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16067 | Уязвимость функции PdfNamesTree::AddToDictionary компонента src/podofo/doc/PdfNamesTree.cpp программной библиотеки для работы с PDF PoDoFo, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16068 | Уязвимость функций PdfTokenizer::ReadArray(), PdfTokenizer::GetNextVariant(), PdfTokenizer::ReadDataType() программной библиотеки для работы с PDF PoDoFo, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16111 | Уязвимость функции ERR_bugcheck_msg() модуля err.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16400 | Уязвимость компонента llama_index класса для чтения данных JSON по токенам JSONReader, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00138 | Уязвимость веб-сервера Undertow, связанная с неконтролируемой рекурсией, позволяющая нарушителю, действующему удаленно, вызвать отказ в обслуживании |
| BDU:2026-00456 | Уязвимость функции createHook() модуля async_hooks программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-9597 | It was found that Red Hat JBoss Core Services erratum RHSA-2016:2957 for CVE-2016-3705 did not actually include the fix for t... |
| CVE-2017-0886 | Nextcloud Server before 9.0.55 and 10.0.2 suffers from a Denial of Service attack. Due to an error in the application logic a... |
| CVE-2017-7515 | poppler through version 0.55.0 is vulnerable to an uncontrolled recursion in pdfunite resulting into potential denial-of-serv... |
| CVE-2019-0001 | Junos OS: MX Series: uncontrolled recursion and crash in Broadband Edge subscriber management daemon (bbe-smgd). |
| CVE-2020-10704 | A flaw was found when using samba as an Active Directory Domain Controller. Due to the way samba handles certain requests as... |
| CVE-2020-1898 | The fb_unserialize function did not impose a depth limit for nested deserialization. That meant a maliciously constructed str... |
| CVE-2020-8285 | curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard mat... |
| CVE-2021-21359 | Denial of Service in Page Error Handling |
| CVE-2021-27432 | OPC Foundation UA .NET Standard versions prior to 1.4.365.48 and OPC UA .NET Legacy are vulnerable to an uncontrolled recursi... |
| CVE-2021-28210 | An unlimited recursion in DxeCore in EDK II. |
| CVE-2021-29615 | Stack overflow in `ParseAttrValue` with nested tensors |
| CVE-2021-30470 | A flaw was found in PoDoFo 0.9.7. An uncontrolled recursive call among PdfTokenizer::ReadArray(), PdfTokenizer::GetNextVarian... |
| CVE-2021-30471 | A flaw was found in PoDoFo 0.9.7. An uncontrolled recursive call in PdfNamesTree::AddToDictionary function in src/podofo/doc/... |
| CVE-2021-3530 | A flaw was discovered in GNU libiberty within demangle_path() in rust-demangle.c, as distributed in GNU Binutils version 2.36... |
| CVE-2021-3997 | A flaw was found in systemd. An uncontrolled recursion in systemd-tmpfiles may lead to a denial of service at boot time when... |
| CVE-2021-43172 | Infinite length chain of RRDP repositories |
| CVE-2021-45105 | Apache Log4j2 does not always protect from infinite recursion in lookup evaluation |
| CVE-2022-1771 | Uncontrolled Recursion in vim/vim |
| CVE-2022-23500 | TYPO3 subject to Uncontrolled Recursion resulting in Denial of Service |
| CVE-2022-23516 | Uncontrolled Recursion in Loofah |
| CVE-2022-23606 | Crash when a cluster is deleted in Envoy |
| CVE-2022-23974 | Pinot segment push endpoint has a vulnerability in unprotected environments |
| CVE-2022-27810 | It was possible to trigger an infinite recursion condition in the error handler when Hermes executed specific maliciously for... |
| CVE-2022-28773 | Due to an uncontrolled recursion in SAP Web Dispatcher and SAP Internet Communication Manager, the application may crash, lea... |
| CVE-2022-31052 | URL previews can crash Synapse media repositories or Synapse monoliths |
| CVE-2022-31099 | Uncontrolled Recursion in rulex |
| CVE-2022-31628 | phar wrapper can occur dos when using quine gzip file |
| CVE-2022-3222 | Uncontrolled Recursion in gpac/gpac |
| CVE-2022-41881 | Netty project is an event-driven asynchronous network application framework. In versions prior to 4.1.86.Final, a StackOverfl... |
| CVE-2022-47374 | A vulnerability has been identified in SIMATIC PC-Station Plus (All versions), SIMATIC S7-400 CPU 412-2 PN V7 (All versions),... |
| CVE-2023-1370 | Stack exhaustion in json-smart leads to denial of service when parsing malformed JSON |
| CVE-2023-1436 | Infinite recursion in Jettison leads to denial of service when creating a crafted JSONArray |
| CVE-2023-24472 | A denial of service vulnerability exists in the FitsOutput::close() functionality of OpenImageIO Project OpenImageIO v2.4.7.1... |
| CVE-2023-2663 | Stack overflow in Xpdf 4.04 due to object loop in PDF page label tree |
| CVE-2023-2664 | Stack overflow in Xpdf 4.04 due to object loop in PDF embedded file tree |
| CVE-2023-29001 | Uncontrolled recursion due to insufficient validation of the IPv6 source routing header in Contiki-NG |
| CVE-2023-4512 | Uncontrolled Recursion in Wireshark |
| CVE-2023-49800 | Denial of service by abusing `fetchOptions.retry` in nuxt-api-party |
| CVE-2023-50251 | php-svg-lib possible DoS caused by infinite recursion when parsing SVG document |
| CVE-2023-50262 | Dompdf possible DoS caused by infinite recursion when parsing SVG images |
| CVE-2023-50269 | SQUID-2023:10 Denial of Service in HTTP Request parsing |
| CVE-2023-52079 | Conversion of property names to strings can trigger infinite recursion |
| CVE-2024-0210 | Uncontrolled Recursion in Wireshark |
| CVE-2024-12910 | Denial of Service in run-llama/llama_index |
| CVE-2024-20311 | A vulnerability in the Locator ID Separation Protocol (LISP) feature of Cisco IOS Software and Cisco IOS XE Software could al... |
| CVE-2024-25111 | SQUID-2024:1 Denial of Service in HTTP Chunked Decoding |
| CVE-2024-25112 | Denial of service due to unbounded recursion in QuickTimeVideo::multipleEntriesDecoder in Exiv2 |
| CVE-2024-28243 | KaTeX's maxExpand bypassed by \edef |
| CVE-2024-28244 | KaTeX's maxExpand bypassed by Unicode sub/superscripts |
| CVE-2024-2965 | Denial-of-Service in LangChain SitemapLoader in langchain-ai/langchain |
| CVE-2024-31228 | Denial-of-service due to unbounded pattern matching in Redis |
| CVE-2024-3247 | Stack overflow in Xpdf 4.05 due to object loop in PDF object stream |
| CVE-2024-3248 | Stack overflow in Xpdf 4.05 due to object loop in attachments |
| CVE-2024-37973 | Secure Boot Security Feature Bypass Vulnerability |
| CVE-2024-42369 | A room with itself as a its predecessor will freeze matrix-js-sdk |
| CVE-2024-4340 | Passing a heavily nested list to sqlparse.parse() leads to a Denial of Service due to RecursionError. |
| CVE-2024-43414 | Apollo Query Planner and Apollo Gateway may infinitely loop on sufficiently complex queries |
| CVE-2024-4568 | Stack overflow in Xpdf 4.05 due to object loop in PDF resources |
| CVE-2024-47831 | Next.js image optimization has Denial of Service condition |
| CVE-2024-49363 | Uncontrolled Recursion and Asymmetric Resource Consumption (Amplification) in media/file proxy in Misskey |
| CVE-2024-54731 | cpdf through 2.8 allows stack consumption via a crafted PDF document. |
| CVE-2024-57257 | A stack consumption issue in sqfs_size in Das U-Boot before 2025.01-rc1 occurs via a crafted squashfs filesystem with deep sy... |
| CVE-2024-58102 | An issue was discovered in Datalust Seq before 2024.3.13545. An insecure default parsing depth limit allows stack consumption... |
| CVE-2024-58103 | Square Wire before 5.2.0 does not enforce a recursion limit on nested groups in ByteArrayProtoReader32.kt and ProtoReader.kt. |
| CVE-2024-58264 | The serde-json-wasm crate before 1.0.1 for Rust allows stack consumption via deeply nested JSON data. |
| CVE-2024-5971 | Undertow: response write hangs in case of java 17 tlsv1.3 newsessionticket |
| CVE-2024-7254 | Stack overflow in Protocol Buffers Java Lite |
| CVE-2024-7866 | Stack overflow in Xpdf 4.05 due to object loop in PDF pattern |
| CVE-2024-8176 | Libexpat: expat: improper restriction of xml entity expansion depth in libexpat |
| CVE-2025-10728 | Uncontrolled recursion in Qt SVG module |
| CVE-2025-11896 | Stack overflow in Xpdf 4.05 due to object loop in PDF CMap |
| CVE-2025-1492 | Uncontrolled Recursion in Wireshark |
| CVE-2025-1752 | Denial of Service in run-llama/llama_index |
| CVE-2025-20025 | Uncontrolled recursion for some TinyCBOR libraries maintained by Intel(R) before version 0.6.1 may allow an authenticated use... |
| CVE-2025-20678 | In ims service, there is a possible system crash due to incorrect error handling. This could lead to remote denial of service... |
| CVE-2025-23325 | NVIDIA Triton Inference Server for Windows and Linux contains a vulnerability where an attacker could cause uncontrolled recu... |
| CVE-2025-24302 | Uncontrolled recursion for some TinyCBOR libraries maintained by Intel(R) before version 0.6.1 may allow an authenticated use... |
| CVE-2025-30193 | Denial of service via crafted TCP exchange |
| CVE-2025-32387 | Helm Allows A Specially Crafted JSON Schema To Cause A Stack Overflow |
| CVE-2025-33096 | IBM Engineering Requirements Management Doors Next denial of service |
| CVE-2025-43708 | VisiCut 2.1 allows stack consumption via an XML document with nested set elements, as demonstrated by a java.util.HashMap Sta... |
| CVE-2025-43718 | Poppler 24.06.1 through 25.x before 25.04.0 allows stack consumption and a SIGSEGV via deeply nested structures within the me... |
| CVE-2025-4565 | Unbounded recursion in Python Protobuf |
| CVE-2025-48924 | Apache Commons Lang, Apache Commons Lang: ClassUtils.getClass(...) can throw a StackOverflowError on very long inputs |
| CVE-2025-5302 | Denial of Service (DOS) in JSONReader in run-llama/llama_index |
| CVE-2025-53605 | The protobuf crate before 3.7.2 for Rust allows uncontrolled recursion in the protobuf::coded_input_stream::CodedInputStream:... |
| CVE-2025-53864 | Connect2id Nimbus JOSE + JWT 10.0.x before 10.0.2 and 9.37.x before 9.37.4 allows a remote attacker to cause a denial of serv... |
| CVE-2025-5472 | Denial of Service via Uncontrolled Recursive JSON Parsing in JSONReader in run-llama/llama_index |
| CVE-2025-54858 | BIG-IP Advanced WAF and ASM vulnerability |
| CVE-2025-57809 | XGrammar affected by Denial of Service by infinite recursion grammars |
| CVE-2025-59364 | The express-xss-sanitizer (aka Express XSS Sanitizer) package through 2.0.0 for Node.js has an unbounded recursion depth in s... |
| CVE-2025-59789 | Apache bRPC: Stack Exhaustion via Unbounded Recursion in JSON Parser |
| CVE-2025-61766 | Bucket vulnerable to infinite recursion when querying a bucket using the != operator |
| CVE-2025-66031 | node-forge ASN.1 Unbounded Recursion |
| CVE-2025-6710 | Pre-authentication Denial of Service Stack Overflow Vulnerability in JSON Parsing via Excessive Recursion in MongoDB |
| CVE-2025-67899 | uriparser through 0.9.9 allows unbounded recursion and stack consumption, as demonstrated by ParseMustBeSegmentNzNc with larg... |
| CVE-2025-68618 | Magick's failure to limit the depth of SVG file reads caused a DoS attack. |
| CVE-2025-68950 | Magick's failure to limit MVG mutual references forming a loop |
| CVE-2025-8732 | libxml2 xmlcatalog xmlParseSGMLCatalog recursion |
| CVE-2025-9624 | OpenSearch 3.2.0 - Nested Boolean/Disjunction asymmetric DoS |
| CVE-2025-9714 | Stack overflow in libxml2 |
| CVE-2026-0989 | Libxml2: unbounded relaxng include recursion leading to stack overflow |
| CVE-2026-0990 | Libxml2: libxml2: denial of service via uncontrolled recursion in xml catalog processing |
| CVE-2026-21500 | Stack Overflow in iccDEV XML Calculator Macro Expansion |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230510-22 | 10.05.2023 | Отказ в обслуживании в Red Hat Camel for Spring Boot |
| VULN:20231215-16 | 15.12.2023 | Отказ в обслуживании в SIMATIC S7-400 CPU 412-2 PN V7 |
| VULN:20240412-4 | 12.04.2024 | Отказ в обслуживании в Cisco IOS XE |
| VULN:20240419-24 | 19.04.2024 | Отказ в обслуживании в Oracle Linux |
| VULN:20250618-4 | 18.06.2025 | Отказ в обслуживании в HPE Telco Service Activator |
| VULN:20250821-46 | 21.08.2025 | Отказ в обслуживании в NVIDIA Triton Inference Server |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.