Forwarded from SecAtor
VMware выпустила патч для критической RCE-уязвимости в Cloud Foundation, гибридной облачной платформе для запуска корпоративных приложений в частных или общедоступных средах.
CVE-2021-39144 затрагивает библиотеку с открытым исходным кодом XStream и имеет почти максимальную базовую оценку CVSSv3 9,8/10, присвоенную VMware.
О ней сообщили Сина Хейркх и Стивен Сили из Source Incite.
Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «root» на устройстве.
Недостаток может быть использован удаленно злоумышленниками, не прошедшими проверку подлинности, в несложных атаках, не требующих взаимодействия с пользователем.
Для устранения CVE-2021-39144 VMware обновила XStream до версии 1.4.19.
Кроме того, выпущены исправления безопасности для продуктов с истекшим сроком эксплуатации.
Компания также выпустила исправления для другой уязвимости CVE-2022-31678, которая может вызвать DoS или раскрыть информацию после успешных атак с внедрением внешних объектов XML (XXE).
VMware также предложено временное решение для тех, кто не может оперативно пропатчить свои устройства.
Администраторам потребуется вход в каждую виртуальную машину диспетчера SDDC в своей среде Cloud Foundation для применения исправления NSX для vSphere (NSX-V), которое обновит библиотеку XStream до версии 1.4.19.
Однако, в отличие от обновлений, обходной путь потребует от администраторов выполнения всех шагов каждый раз, когда создается новый домен рабочей нагрузки VI.
CVE-2021-39144 затрагивает библиотеку с открытым исходным кодом XStream и имеет почти максимальную базовую оценку CVSSv3 9,8/10, присвоенную VMware.
О ней сообщили Сина Хейркх и Стивен Сили из Source Incite.
Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации ввода в VMware Cloud Foundation (NSX-V), злоумышленник может получить удаленное выполнение кода в контексте «root» на устройстве.
Недостаток может быть использован удаленно злоумышленниками, не прошедшими проверку подлинности, в несложных атаках, не требующих взаимодействия с пользователем.
Для устранения CVE-2021-39144 VMware обновила XStream до версии 1.4.19.
Кроме того, выпущены исправления безопасности для продуктов с истекшим сроком эксплуатации.
Компания также выпустила исправления для другой уязвимости CVE-2022-31678, которая может вызвать DoS или раскрыть информацию после успешных атак с внедрением внешних объектов XML (XXE).
VMware также предложено временное решение для тех, кто не может оперативно пропатчить свои устройства.
Администраторам потребуется вход в каждую виртуальную машину диспетчера SDDC в своей среде Cloud Foundation для применения исправления NSX для vSphere (NSX-V), которое обновит библиотеку XStream до версии 1.4.19.
Однако, в отличие от обновлений, обходной путь потребует от администраторов выполнения всех шагов каждый раз, когда создается новый домен рабочей нагрузки VI.
Forwarded from TAdviser
Растущие риски и повсеместное использование открытого исходного кода в разработке программного обеспечения требуют анализа состава программного обеспечения (SCA) для обеспечения безопасности приложений. Руководители служб безопасности должны расширить область применения SCA-инструментов, включив в нее обнаружение вредоносного кода, операционных рисков и рисков цепочки поставок, считают в Gartner. Аналитики Gartner подготовили отчет «Market Guide for Software Composition Analysis», который помогает разобраться в функциональных возможностях класса SCA - Software Composition Analysis, анализ состава ПО - и выбрать подходящий для себя инструмент. Представляем обзор этого документа https://www.tadviser.ru/a/696895
Опубликованы новые редакции iso 27001 и 27005.
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
Pecb
ISO/IEC 27001 - What are the main changes in 2022?
<p>
The new ISO/IEC 27001:2022 is currently under the publication stage and will be published very soon. Some of the main new updates of ISO/IEC 27001:2022 include the update of Annex A and a change in the noscript of the standard.
The new ISO/IEC 27001:2022 is currently under the publication stage and will be published very soon. Some of the main new updates of ISO/IEC 27001:2022 include the update of Annex A and a change in the noscript of the standard.
👍1
Forwarded from AlexRedSec
Репозиторий с ссылками на видео (и/или презентации) докладов с международных конференций по ИБ за 2022 год (50 конференций получилось пока).
Для просмотра холодными осенними вечерами😉
Для просмотра холодными осенними вечерами
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
Watch the latest awesome security talks around the globe - GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
На прошлой неделе прошел KubeCon + CloudNativeCon North America 2022 и уже доступны видео и слайды со специализированных сессий:
- Cloud Native SecurityCon NA 2022
- SigstoreCon NA 2022
- ServiceMeshCon NA 2022
- PrometheusDay NA 2022
- Kubernetes on Edge Day NA 2022
- Kubernetes AI Day NA 2022
- GitOpsCon NA 2022
- EnvoyCon NA 2022
- Cloud Native eBPF Day NA 2022
- Open Observability Day NA 2022
- Cloud Native Telco Day NA 2022
- Kubernetes Batch + HPC Day NA 2022
- KnativeCon NA 2022
- Cloud Native Wasm Day NA 2022
- BackstageCon NA 2022
Отдельно выделю появление новых сессий про Sigstore и Backstage, что говорит про тренды про подпись/аттестацию используемых артефактов и движение к специализированным порталам для разработчиков.
P.S. Видео с основной программы
- Cloud Native SecurityCon NA 2022
- SigstoreCon NA 2022
- ServiceMeshCon NA 2022
- PrometheusDay NA 2022
- Kubernetes on Edge Day NA 2022
- Kubernetes AI Day NA 2022
- GitOpsCon NA 2022
- EnvoyCon NA 2022
- Cloud Native eBPF Day NA 2022
- Open Observability Day NA 2022
- Cloud Native Telco Day NA 2022
- Kubernetes Batch + HPC Day NA 2022
- KnativeCon NA 2022
- Cloud Native Wasm Day NA 2022
- BackstageCon NA 2022
Отдельно выделю появление новых сессий про Sigstore и Backstage, что говорит про тренды про подпись/аттестацию используемых артефактов и движение к специализированным порталам для разработчиков.
P.S. Видео с основной программы
KubeCon + CloudNativeCon North America 2022 еще не доступно …Forwarded from Пост Лукацкого
"Кто первый, того и тапки". Такого принципа придерживается Mandiant, которая за два месяца до конца года решила сделать прогнозы на 2023-й год в области ИБ.
Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻
Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻
👍3
https://www.icrc.org/en/document/icrc-proposes-digital-red-crosscrescent-emblem-signal-protection-cyberspace
Интересная международная инициатива
Интересная международная инициатива
International Committee of the Red Cross
ICRC proposes digital red cross/crescent emblem to signal protection in cyberspace
Geneva (ICRC) - The International Committee of the Red Cross (ICRC) is seeking the support of states around the world to create a ‘digital red cross/crescent emblem’ that could make it clear to militaries and other hackers that they have entered the computer…
Forwarded from Пост Лукацкого
Mandiant - не единственная компания, которая решила выпустить отчет по итогам 2022 года до его окончания. LogRhytm вместе с SANS сделали это в... сентябре.
Forwarded from Пост Лукацкого
Из последнего отчета можно узнать, что самым популярным вектором проникновения были партнеры и обновления ПО. Вроде про supply chain говорят давно, но когда видишь значение 60%, это немного меняет отношение к этому вектору и способам его нейтрализации, мониторинга и реагирования.
Forwarded from Пост Лукацкого
logrhythm_na_sans_2022_top_new_attacks_and_threat_report_analyst.pdf
2.6 MB
Ну и сам отчет
Forwarded from Пост Лукацкого
Forrester разродился очередным квартальным обзором "The Security Analytics Platform Landscape, Q3 2022" по SIEM, ой, нет, по платформам аналитики ИБ (SAP). Увязали это все с use case и требуемой для них функциональностью, после чего сделали маппинг на существующие на рынке продукты. Российских продуктов, предсказуемо, в списке нет. Но мы-то знаем, кто у нас самый-самый 😊 Сам отчет ниже 👇🏻 (как обычно, все найдено на просторах Интернета - никакого пиратства).