Поздравляем наших читателей с наступающими праздниками!

Желаем в новом году только приятных новостей и самых хороших практик внедрённых в жизни и на работе!

С наступающим 2024 годом!

Ура!

Чаты и каналы Telegram по информационной безопасности 2024: https://zlonov.ru/telegram-security-list-2024/

https://rusrim.blogspot.com/2024/01/bs-en-177402023.html
"Великобритания: Опубликован европейский стандарт BS EN 17740:2023 «Требования к профессиональным профилям, связанным с обработкой и защитой персональных данных»"

За минусом рекламы Премиума, интересные советы.

Сегодня рассмотрим тему, которой мы не касались ни разу за все время существование данного канала (а это почти 4 года) - шифрование образов контейнеров! Вряд ли вы вообще о таком задумывались, но если касались темы Confidential Containers/Computing, то это вам знакомо.

Основным путеводителем для нас тут будет презентация "Advancing image security and compliance through Container Image Encryption!". Так для практического ознакомления с темой шифрования образов можно использовать:
- ocicrypt
- imgcrypt
- podman
- skopeo
- buildah

А для расшифровки настроенные:
- Containerd
- CRI-O

Кстати, можно шифровать конкретные слои (а не весь образ), на пример, с вашими ML модельками и контролировать их запуск только в вашей контролируемой среде и нигде более.

P.S. Есть кто уже шифрует?)

GitLab выпустила обновления безопасности для устранения двух критических уязвимостей в платформе DevSecOps.

Один из багов выбил страйк по CVSS и имеет максимальный балл серьезности 10 из 10, позволяя злоумышленникам захватывать аккаунты без взаимодействия с пользователем.

Проблема, отслеживаемая как CVE-2023-7028, связана с аутентификацией и позволяет отправлять запросы на сброс пароля на произвольные, непроверенные адреса электронной почты.

Это может привести к компрометации аккаунта и серьезным последствиям для организаций, использующих платформу для хранения конфиденциальных данных.

Другим печальным последствием может оказаться атака на цепочку поставок, когда злоумышленники могут скомпрометировать репозитории, вставляя вредоносный код в живые среды, где GitLab используется для CI/CD.

Вторая критическая проблема, CVE-2023-5356, имеет не менее критичную оценку серьезности в 9,6 из 10, которая связана с интеграцией Slack/Mattermost, где злоумышленник способен использовать эту ошибку для выполнения слэш-команд от имени другого пользователя.

Несмотря на то, что GitLab не обнаружила никаких случаев активного использования этих уязвимостей, тем не менее предоставила IOC и настойчиво рекомендовала пользователям обновить уязвимые версии платформы как можно скорее.

Обновления доступны из коробки, но для некоторых типов развертываний может потребоваться ручное обновление.

Вместе с последними обновлениями были исправлены и другие недостатки, такие как CVE-2023-4812, CVE-2023-6955 и CVE-2023-2030 пусть с менее низкими оценками серьезности, но все же требующие внимания с точки зрения безопасности.