Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Обзор платформы
  • Сервисы Yandex.Cloud
  • Мобильное приложение
    • Обзор
    • Для Android
    • Для iOS
  • Сопоставление с другими платформами
    • Обзор
    • Сопоставление с Amazon Web Services
    • Сопоставление с Google Cloud Platform
    • Сопоставление с Microsoft Azure
  • Зоны доступности
  • Начало работы
  • Стадии готовности сервисов
  • Квоты и лимиты
  • API
  • Безопасность и соответствие стандартам
    • Обзор
    • Архитектура платформы
    • Ключевые принципы безопасности
    • Разделение ответственности за обеспечение безопасности
    • Меры безопасности на стороне Yandex.Cloud
    • Соответствие требованиям
    • Средства защиты, доступные пользователям облачных сервисов
    • Бюллетени безопасности
    • Правила проведения внешних сканирований безопасности
  • Удаление данных пользователей
  • SLA
  • Вопросы и ответы
  1. Безопасность и соответствие стандартам
  2. Бюллетени безопасности

Бюллетени безопасности

  • 03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
    • Описание
    • Влияние на сервисы Yandex.Cloud
  • 26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.
    • Описание
    • Влияние на сервисы Yandex.Cloud
    • Дополнительная информация
  • 24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL
    • Описание
    • Влияние на сервисы Yandex.Cloud
  • 19.11.2020 — Отказ от устаревших TLS протоколов
    • Описание
    • Влияние на сервисы Yandex.Cloud
  • 20.09.2020 — CVE-2020-1472 (aka Zerologon)
    • Описание
    • Влияние на сервисы Yandex.Cloud
    • Компенсационные меры
  • 15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
    • Описание
    • Влияние на сервисы Yandex.Cloud
  • 28.08.2019 — TCP SACK
    • Описание
    • Влияние на сервисы Yandex.Cloud
  • 19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
    • Описание
    • Влияние на сервисы Yandex.Cloud

На этой странице приводятся рекомендации специалистов Yandex.Cloud о вопросах безопасности.

03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis

Описание

В 32-битной версии Redis версии 4.0 и выше обнаружена уязвимость типа integer overflow, которая при определенных условиях может привести к удаленному выполнению кода.

Влияние на сервисы Yandex.Cloud

Yandex Managed Service for Redis использует 64 битную версию Redis и не подвережен уязвимости.

26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.

Описание

В приложении sudo был найден ряд уязвимостей CVE-2021-3156, которые позволяют непривилигированному пользвателю системы повысить свои привилегии до пользователя root.

Влияние на сервисы Yandex.Cloud

Были обновлены следующие образы операционных систем Linux:

  • все образы от издателя Yandex.Cloud, доступные в Cloud Marketplace;
  • образ Container Optimized Image;
  • образ, который используется для создания узлов в сервисе Managed Service for Kubernetes;
  • образы, которые используются для создания кластеров управляемых баз данных;
  • образ, который используется для создания кластеров Data Proc.

Дополнительная информация

  • Buffer overflow in command line unescaping
  • CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)

24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL

Описание

В системе управления базами данных PostgreSQL была обнаружена уязвимость CVE-2020-25695, которая позволяет непревилигерованному пользователю, при наличии у него прав на создание не временных объектов, выполнять произвольные SQL запросы от имени суперпользователя.

Влияние на сервисы Yandex.Cloud

Все системы управления базами данных PostgreSQL, используемые в рамках сервиса Yandex Managed Service for PostgreSQL, были обновлены.

19.11.2020 — Отказ от устаревших TLS протоколов

Описание

Чтобы повысить безопасность передачи данных, Yandex.Cloud рекомендует всем пользователям перейти на использование технологий, которые обеспечивают шифрование по протоколу TLS 1.2 и выше.

Влияние на сервисы Yandex.Cloud

Все сервисы Yandex.Cloud поддерживают TLS 1.2 и выше. Поддержка устаревших протоколов будет постепенно прекращена. Рекомендуем заранее переключить существующие приложения на использование актуальных версий TLS.

20.09.2020 — CVE-2020-1472 (aka Zerologon)

Описание

Уязвимость в Windows Netlogon Remote Protocol позволяет неаутентифицированному атакующему с сетевым доступом к контроллеру домена скомпрометировать все службы идентификации Active Directory.

Исходный отчёт Secura: Zerologon.

Описание уязвимости, составленное Microsoft: CVE-2020-1472.

Руководство по управлению изменениями от Microsoft: Управление изменениями в подключениях безопасного канала Netlogon, связанными с CVE-2020-1472.

Влияние на сервисы Yandex.Cloud

Образы операционных систем, доступные пользователям Yandex Compute Cloud, уже содержат обновления, устраняющие уязвимость. Все виртуальные машины, созданные в Yandex Compute Cloud после выхода этого сообщения, защищены от описанной атаки.

Компенсационные меры

В дополнение к обновлениям, для ограничения доступа к контроллеру домена из недоверенных сетей используйте следующие системы контроля доступа к сети:

  • Windows Firewall или группы безопасности;
  • перемещение контроллера домена за NAT-gateway.

15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)

Описание

Для некоторых моделей процессоров Intel компания VUSec обнаружила новую атаку под названием Special Register Buffer Data Sampling Attack (или CrossTalk). Данная атака позволяет злонамеренному процессу получить результаты, возвращаемые инструкциями RDRAND и RDSEED из другого процесса, при этом злонамеренный и легитимный процессы могут выполняться на разных физических ядрах процессора. Атаке присвоен номер CVE-2020-0543.

Отчет от Intel: Deep Dive: Special Register Buffer Data Sampling.

Влияние на сервисы Yandex.Cloud

Модели процессоров, используемые в Yandex.Cloud, не подвержены атаке CrossTalk.

28.08.2019 — TCP SACK

Описание

Специалисты Netflix обнаружили три уязвимости в ядре Linux:

  • CVE-2019-11477
  • CVE-2019-11478
  • CVE-2019-11479

Оригинальный отчёт от Netflix: NFLX-2019-001.

Разбор уязвимости от Red Hat: TCP SACK PANIC.

Влияние на сервисы Yandex.Cloud

  • Инфраструктура Yandex.Cloud была оперативно защищена и обновлена.
  • Образы операционных систем, доступные пользователям Yandex Compute Cloud, были обновлены как только появились соответствующие исправления. Таким образом, новые виртуальные машины, создаваемые в Yandex Compute Cloud, не подвержены указанным уязвимостям.

19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List

Описание

Список доменов, внесенных в Public Suffix List:

  • yandexcloud.net
  • storage.yandexcloud.net
  • website.yandexcloud.net

Домены из списка Public Suffix List получают свойства доменов верхнего уровня, как, например, домены .ru или .com:

  • Браузеры не будут сохранять сookie, установленные на перечисленные домены.
  • Браузеры не позволят поменять заголовок запроса Origin страницы на корневые домены.

Больше информации можно найти в нашем блоге.

Влияние на сервисы Yandex.Cloud

Данные изменения позволят повысить безопасность пользователей Yandex.Cloud.

В этой статье:
  • 03.03.2021 — CVE-2021-21309 — удаленное выполнение кода через уязвимость в Redis
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • 26.01.2021 — CVE-2021-3156 - повышение привилегий через уязвимости в sudo.
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • Дополнительная информация
  • 24.12.2020 — CVE-2020-25695 - повышение привилегий в PostgreSQL
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • 19.11.2020 — Отказ от устаревших TLS протоколов
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • 20.09.2020 — CVE-2020-1472 (aka Zerologon)
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • Компенсационные меры
  • 15.06.2020 — Special Register Buffer Data Sampling Attack (aka CrossTalk)
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • 28.08.2019 — TCP SACK
  • Описание
  • Влияние на сервисы Yandex.Cloud
  • 19.08.2019 — Несколько доменов Yandex Object Storage внесены в Public Suffix List
  • Описание
  • Влияние на сервисы Yandex.Cloud
Language / Region
Вакансии
Политика конфиденциальности
Условия использования
Брендбук
© 2021 ООО «Яндекс.Облако»