В Secret Net 7 исправлена критическая уязвимость

Компания «Код безопасности» объявляет о выпуске новой версии средства защиты информации Secret Net 7, где исправлена критическая уязвимость.

Ранее в продукте была обнаружена уязвимость, позволяющая пользователю повысить свои привилегии до административных путем запуска вредоносного программного обеспечения. Уязвимость зарегистрирована в банке данных угроз безопасности ФСТЭК под номером 2016-00436.

В связи с этим компания «Код Безопасности» выпустила обновление СЗИ Secret Net 7 (пакет обновления 6). В нем исправлены ошибки, позволяющие злоумышленникам эксплуатировать уязвимость, а также сделан ряд доработок, повысивших общий уровень защищенности продукта. Дистрибутив и порядок обновления доступны по ссылке.

Обновление обязательно к установке для всех пользователей СЗИ Secret Net 7. Его нужно устанавливать сразу после выпуска без ожидания окончания процедуры инспекционного контроля. В случае проведения обновления в аттестованной системе заказчику требуется направить письмо-уведомление в орган по аттестации. При этом переаттестации системы не требуется. Подробно порядок обновления СЗИ Secret Net 7 зафиксирован в обновленном разделе 6 Формуляра RU.88338853.501410.015 30.

При невозможности оперативного выполнения обновлений должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений. Это необходимо для обеспечения запрета запуска вредоносного программного обеспечения. Ограничения на запуск реализуются с помощью механизма замкнутой программной среды, подробная инструкция по его настройке приведена по ссылке.

Специалистами «Кода безопасности» проведен анализ предыдущих редакций СЗИ Secret Net и обнаружено наличие аналогичной уязвимости в версиях Secret Net 6, Secret Net 6 (вариант К), Secret Net 5 и Secret Net 5.1.

В настоящее время «Код Безопасности» готовит обновления для продуктов Secret Net 6 и Secret Net 6 (вариант К). Выпуск исправленной версии запланирован на 15 апреля. До публикации обновления при эксплуатации Secret Net 6 должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений для обеспечения запрета запуска вредоносного программного обеспечения.

СЗИ Secret Net 5 и Secret Net 5.1 были сняты с поддержки в соответствии с жизненным циклом продуктов и в связи с окончанием срока действия сертификатов соответствия. Обновление для данных версий Secret Net не выпускается. Заказчикам, эксплуатирующим Secret Net 5 и Secret Net 5.1, необходимо принять технические меры, направленные на ограничение списка разрешенных к запуску приложений, и запланировать обновление средства защиты до версии Secret Net 7 (пакет обновлений 6) в кратчайшие сроки.

В случае возникновения вопросов по настройке замкнутой программной среды и обновлению продуктов, а также для получения новых ключей активации просьба обращаться в службу технической поддержки компании «Код безопасности».

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *