|
Эксперты SentinelLabs обнаружили критическую уязвимость в сетевом протоколе внутрикластерного взаимодействия TIPC
Уязвимость, получившая идентификатор CVE-2021-43267, вызвана отсутствием должного сопоставления фактического размера данных с размером, указанным в заголовках пакетов, которые используются для получения ключей шифрования от узлов кластера. При отправке сетевого пакета, оформленного определенным образом, у злоумышленника появляется возможность выполнить произвольный код с привилегиями ядра. Атака может быть проведена как локально, так и удаленно, но для ее проведения в целевой системе должна быть включена поддержка TIPC, которая по умолчанию отключена в большинстве Linux-дистрибутивов.
|
|
Выпущены обновления безопасности для устранения уязвимостей в нескольких продуктах Cisco
Устранена уязвимость CVE-2021-40119, обнаруженная во время внутреннего тестирования безопасности и получившая критичность 9,8/10 по шкале CVSS. По словам сетевого специалиста Cisco, проблема связана с механизмом аутентификации SSH в Cisco Policy Suite и позволяет неаутентифицированному пользователю войти в уязвимую систему под учетной записью root.
Также были устранены несколько критических уязвимостей, эксплуатируемых через веб-интерфейс управления коммутаторов серии Cisco Catalyst PON и позволяющих злоумышленнику изменять конфигурацию устройства, используя имеющуюся в нем учетную запись для отладки.
|
|
В популярные NPM-пакеты внедрено вредоносное ПО
Два распространенных NPM-пакета были скомпрометированы с помощью вредоносного кода, внедренного в результате получения несанкционированного доступа к учетным записям разработчиков. Пакеты, о которых идет речь - синтаксический анализатор аргументов командной строки «coa» и загрузчик конфигурации «rc». Дополнительный анализ показал, что образцы обнаруженного вредоносного ПО являются разновидностью банковского трояна, крадущего учетные данные и пароли в Windows. Скомпрометированные версии пакетов уже удалены из репозитория NPM.
|
Контроль в сфере биометрической идентификации и аутентификации
Официально опубликовано постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение».
|
|
Изменения в Положение о сертификации СрЗИ
Официально опубликован приказ ФСТЭК России от 05.08.2021 № 121 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».
|
|
Порядок обработки биометрических персональных данных в ЕБС и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию
Официально опубликован приказ Минцифры от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
|
|
Изменения в Правила отнесения ГТ к различным степеням секретности
Официально опубликовано постановление Правительства Российской Федерации от 30.10.2021 № 1868 «О внесении изменений в Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности».
|
|
Перечень угроз безопасности, актуальных при обработке биометрических ПДн в ИС осуществляющих идентификацию и (или) аутентификацию
Официально опубликован приказ Минцифры от 01.09.2021 № 902 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации».
|
|