⚡️4 октября 2023 в документации на сайте технической поддержки Confluence было опубликовано сообщение о новой уязвимости сервиса. Она касается повышения привилегий в Confluence Data Center и Server - CVE-2023-22515.
Мы настоятельно рекомендуем клиентам, которые используют Atlassian Confluence Data Center или Confluence Server обновить программное обеспечение Atlassian до версий 8.3.3+, 8.4.3+ 8.5.2+ или воспользоваться механизмом vpatch платформы «Вебмониторэкс» и заблокировать попытки эксплуатации уязвимости.
Подробнее об уязвимости можно прочитать по ссылке
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html

Детектирование попыток эксплуатации "CVE-2023-22515 - Broken Access Control Vulnerability в Confluence Data Center" уже доступно в платформе 😎«Вебмониторэкс».

Новые детекты работают в боевом режиме.
Заказчики, использующие платформу в режиме блокировки уже защищены, им не требуется предпринимать никаких дополнительных действий.
Заказчикам, использующим платформу в режиме мониторинга рекомендуем настроить механизм Vpatch или перевести приложение в режим блокировки.

NGINX Plus, NGINX Plus и связанные продукты, которые реализуют серверную часть спецификации HTTP/2 — уязвимы! 📣

После установления соединения с сервером протокол HTTP/2 позволяет клиентам инициировать параллельные потоки для обмена данными. В отличие от предыдущих версий протокола, если конечный пользователь решает выйти со страницы или прекратить обмен данными по любой другой причине, HTTP/2 предоставляет способ отмены потока. Она делает это путем отправки фрейма RST_STREAM на сервер.

Уязвимость используется путем инициирования и быстрой отмены большого количества потоков HTTP/2 по установленному соединению, тем самым обходит ограничения по запуску одновременных потоков.

Для исправления уязвимости нужно применить изменения в конфигурации NGINX:
* Значение keepalive_requests должно быть сохранено на уровне 1000 запросов по умолчанию.
* http2_max_concurrent_streams следует поддерживать значение по умолчанию в 128 потоков.
* limit_conn устанавливает ограничение на количество разрешенных подключений от одного клиента. К этой директиве следует добавить разумные настройки, обеспечивающие баланс производительности и безопасности приложения.
* limit_req устанавливает ограничение на количество запросов, которые будут обработаны в течение заданного промежутка времени от одного клиента. К этой директиве следует добавить разумные настройки, обеспечивающие баланс производительности и безопасности приложения.

Подробнее описано здесь: https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/

«Привет, Хабр!» 📢
Писали, редактировали, генерировали, строили..
Теперь мы здесь, а это значит, что у нас будут для тебя полезные статьи, которые точно заставят мозговые волны работать на полную мощность 🤖🦾 Подписывайся и читай первую часть статьи Вадима Шепелева о методиках тестирования и сравнения WAF.

#Хабр

https://habr.com/ru/companies/webmonitorx/articles/

👀Рефрен к одной из предыдущих новостей в нашем канале о нашумевшей уязвимости протокола HTTP/2.

Компания «Веб-Сервер» анонсировала выпуск новой версии российского веб-сервера с открытым исходным кодом Angie 1.3.1 и его проприетарной версии Angie PRO 1.3.1.

В релизе выпущены изменения, включающие ограничения для потоков данных по протоколу HTTP/2 для оптимизации защиты от DoS-атаки "HTTP/2 Rapid Reset".

А мы 😎подготовили свои обновления. В мегапакет 4.6.19 для платформы x86_64 добавили поддержку обновленной Angie Pro/OSS 1.3.1.
#вебмониторэкс #ИБ

https://wbsrv.ru/tpost/g89kb8ia21-angie-i-angie-pro-obnovleni-dlya-uluchsh

😎Платформа «Вебмониторэкс»😎 проходит сертификационные испытания во ФСТЭК России (Федеральной службе по техническому и экспортному контролю). Успешное завершение испытаний будет означать прохождение сертификации по 4 уровню доверия. Наличие сертификата ФСТЭК у отечественных разработок в области информационной безопасности определено регуляторными требованиями по защите значимых объектов критической информационной инфраструктуры (ЗОКИИ), персональных данных (ПДн) и государственных информационных систем (ГИС).

Соответствие программного комплекса компании Вебмониторэкс требованиям ФСТЭК России — значимый аргумент для использования этого продукта в организациях, относящихся к госсектору или входящих в подмножество субъектов критической информационной инфраструктуры.

🔍«Шаг для нас значимый и очень ответственный. Нам предстоит получить подтверждение соответствия существующего продукта действующим профилям, закрепленным в технической документации регулятора. Регистрация продукта в Системе сертификации ФСТЭК России — важная часть дорожной карты развития платформы. Это сопоставимо с подтверждением качества и базовых свойств продукта участниками рынка, которые уже пользуются нашим продуктом более 10 лет”, — отметил Лев Палей, директор по информационной безопасности компании «Вебмониторэкс».

🤯До пятницы осталось пережить четверг, а у нас #новостьдня

➕Опубликовали вторую часть статьи Вадима Шепелева о методиках тестирования и сравнения WAF. Если еще не успели прочитать первую часть (не знаем, какие этому могут быть причины), то скорее переходите по ссылке и читайте первую часть.

🖥 Improper Authorization в Confluence Data Center and Server - CVE-2023-22518

👍 Вчера в хэлуин произошел интересный анонс от CISO Bala Sathiamurthy о критической уязвимости в Confluence Data Center, Confluence Server.

🔽Исходя из сообщения, все версии Confluence Data Center, Confluence Server были уязвимы к
Improper Authorization.

🔽Обладателям Confluence Data Center, Confluence Server настоятельно рекомендуем обновить продукты до версий 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 или более новых.