Данный документ неактуален с даты ввода в действие СТО БР БФБО-1.5-2018 с 01.11.2018 (письмо Банка России от 12.10.2021 N 56-4-ОГ/19549).
"Временный регламент передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (Версия 2.3)" (утв. Банком России)

4. Типовая форма описания уязвимости (Электронная форма Уязвимости)

4. Типовая форма описания уязвимости

(Электронная форма Уязвимости)

Название поля

Описание поля (должно быть представлено в качестве подсказки при заполнении)

Пример

Наименование уязвимости

Текстовое поле

Информация об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости)

Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).

Идентификатор уязвимости

Текстовое поле (присваивается автоматически разрабатываемой системой)

Представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей (FinCERT), год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится.

FinCERT-2016-1234

Идентификаторы других систем описаний уязвимостей

Текстовое поле

Представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.

CVE ID: CVE-2003-0313

Краткое описание уязвимости

Текстовое поле

Представляет собой текстовую информацию об уязвимости и возможностях ее использования

Уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет "критический" уровень опасности.

Класс уязвимости

Текстовое поле (выбор из закрытого списка):

- Уязвимость кода

Уязвимость, появившаяся в процессе разработки программного обеспечения.

- Уязвимость конфигурации

Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.

- Уязвимость архитектуры

Уязвимость, появившаяся в процессе проектирования информационной системы.

- Организационная уязвимость

Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации.

- Многофакторная уязвимость

Уязвимость, появившаяся в результате наличия нескольких недостатков различных типов.

- Не задан

Поскольку значения поля "Класс уязвимости" могут быть получены только из одного источника (http://www.bdu.fstec.ru/vul), для уязвимостей, полученных из других источников (например, NVD), в автоматическом режиме будет проставляться "Не задан", с последующим изменением экспертами класса уязвимости вручную.

Уязвимость кода

Наименование программного обеспечения и его версия

Текстовое поле

Представляет собой информацию о наименовании ПО и его версии.

RPC/DCOM Microsoft Windows 4.0/200С/ХР/2003.

Служба (порт), которую(ый) используется для функционирования программного обеспечения

Текстовое поле

Представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используется для функционирования ПО и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком "/".

RPC 139/tcp

Тип недостатка

Текстовое поле (выбор из закрытого списка)

- недостатки, связанные с неправильной настройкой параметров ПО

Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, назначении избыточного числа параметров или неопределенных параметров ПО.

- недостатки, связанные с неполнотой проверки вводимых (входных) данных

Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений, вводимых (входных) данных.

- недостатки, связанные с возможностью прослеживания пути доступа к каталогам

Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных.

- недостатки, связанные с возможностью перехода по ссылкам

Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен.

- недостатки, связанные с возможностью внедрения команд ОС

Внедрение команд ОС заключается в возможности выполнения пользователем команд операционной системы (например, просмотре структуры каталогов, копирование, удаление файлов и другие команды).

- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев)

Межсайтовый скриптинг обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя.

- недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки

Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения.

- недостатки, связанные с внедрением произвольного кода

Недостатки связаны с внедрением произвольного кода и части кода, которые могут привести к нарушению процесса выполнения операций.

- недостатки, связанные с переполнением буфера памяти

Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и операционной системы. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяет нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется.

недостатки, связанные с переполнением буфера памяти.

- недостатки, связанные с неконтролируемой форматной строкой

Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программ, в ряде случаев - внедрять произвольный код.

- недостатки, связанные с вычислениями

К недостаткам, связанным с вычислениями, относятся следующие:

- некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;

- ошибка числа со знаком, когда нарушитель может ввести данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;

- ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования, или иных переходов между типами чисел);

- ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности.

- недостатки, приводящие к утечке/раскрытию информации ограниченного доступа

Утечка информации - преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существует утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут быть образованы вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов).

- недостатки, связанные с управлением полномочиями (учетными данными)

К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей. Ошибки при удалении ненужных учетных данных и другие.

- недостатки, связанные с управлением разрешениями, привилегиями и доступом

К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованному наличию суперпользователей в системе, нарушение политики разграничения доступа и другие.

- недостатки, связанные с аутентификацией

К недостаткам, связанным с аутентификацией, относятся: возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций.

- недостатки, связанные с криптографическими преобразованиями (недостатки шифрования)

К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации.

- недостатки, связанные с подменой межсайтовых запросов

Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку корректности формирования запроса.

- недостатки, приводящие к "состоянию гонки"

"Состояние гонки" - ошибка проектирования многопоточной системы или приложения, при котором функционирование системы или приложения зависит от порядка выполнения части кода. "Состояние гонки" является специфической ошибкой, проявляющейся в случайные моменты времени.

- недостатки, связанные с управлением ресурсами

К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие.

- иные типы недостатков

Место возникновения (проявления) уязвимости

Текстовое поле (выбор из закрытого списка)

- Общесистемное (общее) программное обеспечение

- Прикладное программное обеспечение

- Специальное программное обеспечение

- Технические средства

- Портативные технические средства

- Сетевое (коммуникационное, телекоммуникационное) оборудование

- Средства защиты информации

Общесистемное (общее) программное обеспечение

Наименование операционной системы и ином окружении уязвимого ПО

Текстовое поле

Представляет собой информацию об операционной системе и ином окружении уязвимого ПО.

Microsoft Windows 4.0/2000/XP/2003 (*32).

Дата выявления уязвимости

Дата

Представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ГГГГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.

01/01/2016

Автор, опубликовавший информацию о выявленной уязвимости

Текстовое поле

Представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым. Может быть приведена ссылка на ресурс в сети интернет

Способ (правило) обнаружения уязвимости

Текстовое поле (с возможностью вложения файла)

Представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при

помощи специальной процедуры провести проверку наличия уязвимости.

Критерии опасности уязвимости

Текстовое поле

CVSS - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: http://www.first.org/cvss

AV.H/AC:UAu:N/C:CJ\:CJA:C

Возможные меры по устранению уязвимости

Текстовое поле

Предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.

Прочая информация

Текстовое поле

3. Типовая форма описания угрозы (Электронная форма Угрозы) 5. Сведения, содержащиеся в карточке инцидента кода PUB (Электронная форма Публикации)