Forwarded from SecAtor
Кевин Бэкхаус, исследователь GitHub Security Lab, нашел уязвимость в службе polkit в Linux, которая позволяет непривилегированному локальному пользователю получить рутовые права.
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
The GitHub Blog
Privilege escalation with polkit: How to get root on Linux with a seven-year-old bug
polkit is a system service installed by default on many Linux distributions. It’s used by systemd, so any Linux distribution that uses systemd also uses polkit.
Forwarded from Пост Лукацкого
Новости законодательства
1️⃣ ЦБ опубликовал проект изменений в Положение Банка России 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”. В частности:
* уточняются требования по сертификации прикладного ПО по требованиям ФСТЭК,
* усилены требования по оценке соответствия прикладного ПО,
* кредитной организации разрешено самостоятельно проводить оценку соответствия прикладного ПО,
* установлены требования по обеспечению целостности электронных сообщений
* уточнены требования по идентификации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мониторингу поведения клиентов, осуществляющих операции с мобильных устройств,
* уточнены требования к технологии обработки защищаемой информации,
* уточнены требования по регистрации данных о действиях работников кредитной организации и ее клиентов,
* уточнен порядок регистрации инцидентов защиты информации и информационного обмена со службой управления рисками,
* предполагается, что изменения вступят в силу с 1-го апреля 2022-го года.
2️⃣ Минцифры определит критерии признания радиоэлектроники отечественной и сможет субсидировать спрос на такую электронику, что должно помочь российским разработчикам средств защиты информации, которые вынуждены переходить в своих решениях на отечественную микроэлектронику по требованиям регуляторов, но не знают, что считается таковой.
3️⃣ ТК26 опубликовал проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации»
4️⃣ ТК26 опубликовал проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Транспортный ключевой контейнер»
5️⃣ Вступил в силу Федеральный закон от 26 мая 2021 г. N 141-ФЗ “О внесении изменений в кодекс российской федерации об административных правонарушениях”, дополнившей КоАП новой статьей 13.12.1, а также внесший изменения в статью 19.7.15 и устанавливающий 5 новых составов правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
1️⃣ ЦБ опубликовал проект изменений в Положение Банка России 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”. В частности:
* уточняются требования по сертификации прикладного ПО по требованиям ФСТЭК,
* усилены требования по оценке соответствия прикладного ПО,
* кредитной организации разрешено самостоятельно проводить оценку соответствия прикладного ПО,
* установлены требования по обеспечению целостности электронных сообщений
* уточнены требования по идентификации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мониторингу поведения клиентов, осуществляющих операции с мобильных устройств,
* уточнены требования к технологии обработки защищаемой информации,
* уточнены требования по регистрации данных о действиях работников кредитной организации и ее клиентов,
* уточнен порядок регистрации инцидентов защиты информации и информационного обмена со службой управления рисками,
* предполагается, что изменения вступят в силу с 1-го апреля 2022-го года.
2️⃣ Минцифры определит критерии признания радиоэлектроники отечественной и сможет субсидировать спрос на такую электронику, что должно помочь российским разработчикам средств защиты информации, которые вынуждены переходить в своих решениях на отечественную микроэлектронику по требованиям регуляторов, но не знают, что считается таковой.
3️⃣ ТК26 опубликовал проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации»
4️⃣ ТК26 опубликовал проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Транспортный ключевой контейнер»
5️⃣ Вступил в силу Федеральный закон от 26 мая 2021 г. N 141-ФЗ “О внесении изменений в кодекс российской федерации об административных правонарушениях”, дополнившей КоАП новой статьей 13.12.1, а также внесший изменения в статью 19.7.15 и устанавливающий 5 новых составов правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Некоторые аспекты 2-факторной аутентификации.
https://research.nccgroup.com/2021/06/10/testing-two-factor-authentication/
https://research.nccgroup.com/2021/06/10/testing-two-factor-authentication/
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Добрый день информируем, что следующая встреча в он-лайн формате запланирована на июль. Тема встречи как это было выбрано вами в ходе опроса DevSecOps Secrets management, General & Pipeline.
Желающие выступить могут обращаться к @popepiusxiii или @AlexBodryk
Желающие выступить могут обращаться к @popepiusxiii или @AlexBodryk
ISACARuSec pinned «Добрый день информируем, что следующая встреча в он-лайн формате запланирована на июль. Тема встречи как это было выбрано вами в ходе опроса DevSecOps Secrets management, General & Pipeline. Желающие выступить могут обращаться к @popepiusxiii или @AlexBodryk»
Forwarded from Пост Лукацкого
Разбитая чашка кинцуги, как символ современной ИБ, или о чем говорили на RSA Conference 2021 https://t.co/BGWMAlpJMI
— Alexey Lukatsky (@alukatsky) Jun 15, 2021
— Alexey Lukatsky (@alukatsky) Jun 15, 2021
Blogspot
Разбитая чашка кинцуги, как символ современной ИБ, или о чем говорили на RSA Conference 2021
Блог Алексея Лукацкого "Бизнес без опасности"