Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ГОСТ Р 56546—2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems. УДК 004: 006.354 ОКС 35.020. Редакция от 11.12.2023.

5.2.(1) Недостатки, связанные с неправильной настройкой параметров ПО ГОСТ Р 56546-2015

Примечание — Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределенных параметров ПО.

[из 5.2.(1) Недостатки, связанные с неправильной настройкой параметров ПО ГОСТ Р 56546—2015]

    5.2.(10) Недостатки, связанные с неконтролируемой форматной строкой ГОСТ Р 56546-2015

    • недостатки, связанные с неконтролируемой форматной строкой.

    Примечание — Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программы, в ряде случаев — внедрять произвольный код.

    [из 5.2.(10) Недостатки, связанные с неконтролируемой форматной строкой ГОСТ Р 56546—2015]

      5.2.(11) Недостатки, связанные с вычислениями ГОСТ Р 56546-2015

      • недостатки, связанные с вычислениями.

      Примечание — К недостаткам, связанным с вычислениями, относятся следующие:

      • некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;
      • ошибка числа со знаком, когда нарушитель может вводить данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;
      • ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);
      • ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности;
      • недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.

      ПримечаниеУтечка информации — преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существуют утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут возникать вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов).

      [из 5.2.(11) Недостатки, связанные с вычислениями ГОСТ Р 56546—2015]

        5.2.(12) Недостатки, связанные с управлением полномочиями (учетными данными) ГОСТ Р 56546-2015

        Примечание — К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки при удалении ненужных учетных данных и другие.

        [из 5.2.(12) Недостатки, связанные с управлением полномочиями (учетными данными) ГОСТ Р 56546—2015]

          5.2.(13) Недостатки, связанные с управлением разрешениями, привилегиями и доступом ГОСТ Р 56546-2015

          • недостатки, связанные с управлением разрешениями, привилегиями и доступом.

          Примечание — К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованное наличие суперпользователей в системе, нарушение политики разграничения доступа и другие.

          [из 5.2.(13) Недостатки, связанные с управлением разрешениями, привилегиями и доступом ГОСТ Р 56546—2015]

            5.2.(14) Недостатки, связанные с аутентификацией ГОСТ Р 56546-2015

            Примечание — К недостаткам, связанным с аутентификацией, относятся возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций.

            [из 5.2.(14) Недостатки, связанные с аутентификацией ГОСТ Р 56546—2015]

              5.2.(15) Недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) ГОСТ Р 56546-2015

              Примечание — К недостаткам, связанным с криптографическими преобразованиями, относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации.

              [из 5.2.(15) Недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) ГОСТ Р 56546—2015]

                5.2.(16) Недостатки, связанные с подменой межсайтовых запросов ГОСТ Р 56546-2015

                • недостатки, связанные с подменой межсайтовых запросов.

                Примечание — Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку правильности формирования запроса.

                из 5.2.(16) Недостатки, связанные с подменой межсайтовых запросов ГОСТ Р 56546—2015]

                  5.2.(17) Недостатки, приводящие к «состоянию гонки» ГОСТ Р 56546-2015

                  • недостатки, приводящие к «состоянию гонки».

                  Примечание — «Состояние гонки» — ошибка проектирования многопоточной системы или приложения, при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние гонки» является специфической ошибкой, проявляющейся в случайные моменты времени.

                  [из 5.2.(17) Недостатки, приводящие к «состоянию гонки» ГОСТ Р 56546—2015]

                    Страницы

                    Подписка на Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем