Бюллетени безопасности
На этой странице приводятся рекомендации специалистов Яндекс.Облака о вопросах безопасности.
15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
Описание
Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.
Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.
Влияние на сервисы Яндекс.Облака
Модели процессоров, используемые в Яндекс.Облаке, не подвержены атаке CrossTalk.
28.08.2019 — TCP SACK
Описание
Специалисты Netflix обнаружили три уязвимости в ядре Linux:
Оригинальный отчёт от Netflix: NFLX-2019-001.
Разбор уязвимости от Red Hat: TCP SACK PANIC.
Влияние на сервисы Яндекс.Облака
- Инфраструктура Яндекс.Облака была оперативно защищена и обновлена.
- Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.
19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
Описание
Список доменов, внесенных в Public Suffix List:
- yandexcloud.net
- storage.yandexcloud.net
- website.yandexcloud.net
Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:
- Браузеры не будут сохранять сookie, установленные на перечисленные домены.
- Браузеры не позволят поменять заголовок запроса
Originстраницы на корневые домены.
Больше информации можно найти в нашем блоге.
Влияние на сервисы Яндекс.Облака
Данные изменения позволят повысить безопасность пользователей Яндекс.Облака.