Бюллетени безопасности
- 03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
- 26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.
- 24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL
- 19.11.2020 — Отказ от устаревших TLS протоколов
- 20.09.2020 — CVE-2020-1472 (aka Zerologon)
- 15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
- 28.08.2019 — TCP SACK
- 19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
На этой странице приводятся рекомендации специалистов Yandex.Cloud о вопросах безопасности.
03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
Описание
В 32-битной версии Redis версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.
Влияние на сервисы Yandex.Cloud
Yandex Managed Service for Redis использует 64 битную версию Redis и не подвережен уязвимости.
26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.
Описание
В приложении sudo был найден ряд уязвимостей CVE-2021-3156, которые позволяют непривилигированному пользвателю системы повысить свои привилегии до пользователя root.
Влияние на сервисы Yandex.Cloud
Были обновлены следующие образы операционных систем Linux:
- все образы от издателя Yandex.Cloud, доступные в Cloud Marketplace;
- образ Container Optimized Image;
- образ, который используется для создания узлов в сервисе Managed Service for Kubernetes;
- образы, которые используются для создания кластеров управляемых баз данных;
- образ, который используется для создания кластеров Data Proc.
Дополнительная информация
- Buffer overflow in command line unescaping
- CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL
Описание
В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695, которая позволяет непревилигерованному пользователю, при наличии у него прав на создание не временных объектов, выполнять произвольные SQL запросы от имени суперпользователя.
Влияние на сервисы Yandex.Cloud
Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены.
19.11.2020 — Отказ от устаревших TLS протоколов
Описание
Чтобы повысить безопасность передачи данных, Yandex.Cloud рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2 и выше.
Влияние на сервисы Yandex.Cloud
Все сервисы Yandex.Cloud поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.
20.09.2020 — CVE-2020-1472 (aka Zerologon)
Описание
Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.
Исходный отчёт Secura: Zerologon.
Описание уязвимости, составленное Microsoft: CVE-2020-1472.
Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472.
Влияние на сервисы Yandex.Cloud
Образы операционных систем, доступные пользователям Yandex Compute Cloud, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в Yandex Compute Cloud после выхода этого сообщения, защищены от описанной атаки.
Компенсационные меры
В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:
- Windows Firewall или группы безопасности;
- перемещение контроллера домена за NAT-gateway.
15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
Описание
Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.
Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.
Влияние на сервисы Yandex.Cloud
Модели процессоров, используемые в Yandex.Cloud, не подвержены атаке CrossTalk.
28.08.2019 — TCP SACK
Описание
Специалисты Netflix обнаружили три уязвимости в ядре Linux:
Оригинальный отчёт от Netflix: NFLX-2019-001.
Разбор уязвимости от Red Hat: TCP SACK PANIC.
Влияние на сервисы Yandex.Cloud
- Инфраструктура Yandex.Cloud была оперативно защищена и обновлена.
- Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.
19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
Описание
Список доменов, внесенных в Public Suffix List:
- yandexcloud.net
- storage.yandexcloud.net
- website.yandexcloud.net
Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:
- Браузеры не будут сохранять сookie, установленные на перечисленные домены.
- Браузеры не позволят поменять заголовок запроса
Originстраницы на корневые домены.
Больше информации можно найти в нашем блоге.
Влияние на сервисы Yandex.Cloud
Данные изменения позволят повысить безопасность пользователей Yandex.Cloud.