БДУ - Уязвимости

BDU:2021-02857: Уязвимость средства разработки GoLang прикладного программного обеспечения Аврора Центр, связанная с выполнением цикла с недоступным условием выхода, позволяющая нарушителю вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость средства разработки GoLang прикладного программного обеспечения Аврора Центр связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Открытая мобильная платформа», The Go Project, АО "НППКТ"

Наименование ПО

Аврора Центр (запись в едином реестре российских программ №6875), Go, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

от 2.1.3 до 2.5.0 включительно (Аврора Центр)
до 1.13.15 (Go)
от 1.14 до 1.14.7 (Go)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем, Операционная система

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП Сервер -
The CentOS Project CentOS -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.1 (запись в едином реестре российских программ №5913)

Тип ошибки

Выполнение цикла с недоступным условием выхода (бесконечный цикл)

Идентификатор типа ошибки

CWE-835

Класс уязвимости

Уязвимость кода

Дата выявления

25.05.2021

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использовать следующие компенсирующие меры:
Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Данные уточняются

Способ устранения

Организационные меры

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2020-16845
https://snyk.io/vuln/SNYK-DEBIAN11-GOLANG115-597555
https://groups.google.com/forum/#!topic/golang-announce/_ulYYcIWg3Q
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2020-16845

Прочая информация

Данные уточняются

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Описание уязвимости

Вендор

Наименование ПО

Версия ПО

Тип ПО

Операционные системы и аппаратные платформы

Тип ошибки

Идентификатор типа ошибки

Класс уязвимости

Дата выявления

Базовый вектор уязвимости

Уровень опасности уязвимости

Возможные меры по устранению уязвимости

Статус уязвимости

Наличие эксплойта

Способ эксплуатации

Способ устранения

Информация об устранении

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

Прочая информация