Дайджест Jet CSIRT [13-15.03.2021]

13.03.2021

В подсистеме ядра Linux выявлены 15-летние уязвимости

 

Специалистами организации GRIMM были выявлены уязвимости подсистемы iSCSI ядра Linux (CVE-2021-27365, CVE-2021-27363, CVE-2021-27364), позволяющие локальному пользователю с базовыми привилегиями повысить свои права до уровня суперпользователя. Эксплуатация уязвимостей возможна только в случае наличия у злоумышленника локального доступа к системе. Несмотря на то, что уязвимости были выявлены только сейчас, в подсистеме iSCSI они появились ещё в 2006 году на ранних стадиях разработки. Исправления уязвимостей уже доступно в основном ядре Linux от 7 марта.


Google представила PoC-код для эксплуатации уязвимости Spectre

 

Исследователи Google опубликовали JavaScript-эксплоит, демонстрирующий возможность использования уязвимости Spectre (CVE-2017-5753) для доступа к информации в области памяти браузера. По утверждениям инженеров Google, эксплоит работает на множестве архитектур, и на практике доказывает ненадёжность некоторых механизмов защиты, используемых разработчиками на текущий момент (изоляция сайтов, Cross-Origin, Cross-Origin Read Blocking). Для полноценной демонстрации атаки, специалистами создан сайт leaky.page, подробно описывающий этапы атаки и задействованные механизмы.


Опубликован традиционный Threat Roundup от Cisco Talos

 

Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 5 по 12 марта.



В Минцифры обсудили поправки в законопроект о персональных данных

 

Согласно предложенным Минцифры России поправкам, обезличивание персональных данных может осуществляться только с согласия субъекта или в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных.

Поправки предусматривают, что бизнес сможет свободно обрабатывать обезличенные данные. При этом для обеспечения защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают данные.


Законопроект, уточняющий реформу цифровой подписи в РФ, принят в I чтении

 

Госдума приняла в первом чтении законопроект о переносе вступления в силу с 1 апреля 2021 года на 1 июля 2022 года нового порядка идентификации лиц удостоверяющими центрами (УЦ) при получении сертификата ключей проверки электронных подписей (СЭП). Закон предусматривает новые очень жесткие требования к УЦ.