Zbackup Cloud: новое решение для защиты резервного копирования в «облако»

Компания SECURIT, объявляет о выпуске продукта Zbackup Cloud для шифрования конфиденциальной информации при «облачном» резервном копировании. Zbackup компании SECURIT является частью решения Zserver Suite и предназначен для предотвращения утечек резервных копий конфиденциальной информации.

Zbackup позволяет надежно защищать данные на магнитных лентах, оптических дисках и в онлайн-хранилищах. Для защиты резервных копий в Zbackup могут быть использованы различные криптографические алгоритмы с длиной ключа от 128 бит, в том числе криптографический модуль «КриптоПро», имеющий необходимые сертификаты и реализующий российский алгоритм шифрования ГОСТ 28147-89. Zbackup работает по принципу «прозрачного» шифрования, не требует какой-либо перенастройки программного обеспечения и совместим с наиболее популярными системами резервного копирования — CA ARCserve Backup, Symantec Backup Exec, CommVault Backup & Recovery, EMC Legato Networker и др.

Ключевая особенность нового продукта Zbackup Cloud — возможность шифрования информации при «облачном» резервном копировании на удалённые серверы. Использование Zbackup Cloud позволяет надежно защищать резервные копии информации, находящиеся в специальных «облачных» онлайн-хранилищах. Zbackup Cloud совместим со всеми модулями Zserver Suite, в нем используются те же алгоритмы и ключи шифрования, существует возможность централизованного управления ключами с использованием Zserver Enterprise Key Server. Администрирование Zbackup Cloud осуществляется через единую для всех продуктов компании SECURIT систему управления Zconsole.

«Сегодня cloud — это, без преувеличения, самое модное слово в корпоративном ИТ во всем мире. Хотя в России перспективы «облачного» подхода пока туманны, многие наши клиенты уже начинают его использовать. И это неудивительно, ведь «облачный» сервис зачастую существенно дешевле и удобнее, а начать его использование можно за считанные часы, — комментирует Алексей Раевский. — Zbackup Cloud — наш шаг навстречу развитию безопасности «облачных» сервисов для хранения резервных копирований».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Критическая уязвимость в WordPress-плагинах Jupiter грозит угоном сайта

Аналитики из Wordfence выявили ряд уязвимостей в темах и плагинах Jupiter для WordPress (разработчик ArtBees). Одна из проблем позволяет после авторизации повысить привилегии до уровня администратора; степень опасности оценена в 9,9 балла из 10 возможных по шкале CVSS.

Мощные билдеры Jupiter используют более 148 тыс. клиентов из разных стран; с их помощью построены многие популярные блоги, интернет-платформы и магазины. Найденные уязвимости были полностью пропатчены 10 мая, пользователям рекомендуется как можно скорее обновить продукты до последней версии.

Согласно Wordfence, критическая дыра CVE-2022-1654 присутствует в Jupiter Theme 6.10.1 и ниже, а также во всех сборках плагина JupiterX Core до 2.0.6 включительно. Уязвимость проявляется при выполнении функции uninstallTemplate, выполняющей сброс базы данных сайта после деинсталляции шаблона. При этом происходит переустановка сайта, владельцем которого назначается текущий пользователь.

Уязвимая функция вызывается с помощью запроса AJAX с параметром action, заданным как abb_uninstall_template — или jupiterx_core_cp_uninstall_template в случае с JupiterX Core. Поскольку никаких проверок полномочий предусмотрено не было, злоумышленник мог получить админ-доступ к сайту и изменить его содержимое, внедрить вредоносный скрипт или попросту удалить весь контент.

Остальные уязвимости, найденные в Jupiter Theme, JupiterX Theme и JupiterX Core, менее опасны:

  • CVE-2022-1657 (8,1 балла CVSS) — обход каталога и возможность использования локальных файлов (local file inclusion, LFI); позволяет получить доступ к информации ограниченного пользования и совершать действия вне рамок своих полномочий;
  • CVE-2022-1656 (6,5 балла CVSS) — слабый контроль доступа, позволяющий деактивировать любой плагин и изменить настройки; грозит снижением безопасности сайта и нарушением нормального функционирования;
  • CVE-2022-1658 (6,5 балла) — слабый контроль доступа, позволяющий удалить любой плагин;
  • CVE-2022-1659 (6,3 балла) — раскрытие конфиденциальной информации (настройки сайта, данные о совершивших вход юзерах), возможность модификации постов, отказ в обслуживании (DoS).

Эксплойт во всех случаях тоже требует аутентификации, то есть его может провести любой подписчик или зарегистрированный пользователь. Полнофункциональные патчи включены в состав сборок Jupiter Theme 6.10.2, JupiterX Theme 2.0.7 и JupiterX Core 2.0.8.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru