Компанией Fortinet представлены новые устройства для защиты web-приложений

Компанией Fortinet представлены новые устройства для защиты web-приложений

Российское представительство компании Fortinet объявило о появлении трёх новых моделей в семействе межсетевых экранов для защиты web-приложений: FortiWeb-4000C, FortiWeb-3000C FSX и FortiWeb-400C.



Новая линейка продуктов предназначена для защиты стратегически важных web-приложений крупных предприятий, провайдеров услуг и средних организаций от нарушений безопасности и утечки данных. В новых устройствах используется усовершенствованная операционная система FortiWeb 4.0 МР3, обеспечивающая ведение системного журнала и отчётности, а также простоту настройки и использования.

Высокая производительность FortiWeb-4000C, востребованная крупными центрами обработки данных, поддерживает скорость до 70 тысяч операций в секунду и обладает пропускной способностью 2 Гбит/с. Данные ключевые показатели существенно выше, чем у конкурирующих систем того же класса. Главной особенностью FortiWeb-4000C является аппаратное ускорение, которое в том числе позволяет обеспечить в режиме реального времени работу системы по предотвращению от утечек данных кредитных карт и личной информации. Согласно политикам DLP необходимо проверять, как все исходящие данные, так и информацию, полученную от пользователей, а это требует значительных ресурсов процессора. Используя специальное ускорение функций DLP, FortiWeb-4000C обеспечивает рекордную производительность, освобождая ресурсы основного процессор для решения других задач.

FortiWeb-3000C FSX обладает тем же набором функций и преимуществ, что и FortiWeb-3000C, но помимо этого имеет оптический bypass-модуль, что соответствует требованиям больших центров обработки данных. Как и предыдущая модель, FortiWeb-3000C FSX предлагает заказчикам гибкие варианты развертывания системы с интеллектуальной семиуровневой системой балансировки нагрузки, а аппаратное и программное ускорение позволяет повысить стабильность приложений и оптимизировать использование ресурсов, при этом снижая время отклика сервера.

Новый FortiWeb-400C является улучшенной моделью FortiWeb-400B, с более производительными процессорами и увеличенным объёмом памяти.

Все модели FortiWeb предназначены для защиты web-приложений и конфиденциальной информации баз данных путём блокирования угроз, таких как межсайтовый скриптинг, SQL-инъекции, переполнения буфера, PHP-инъекции и DoS-атаки. Помимо основных функций, FortiWeb позволяет осуществлять поиск уязвимостей в web-приложениях и выполнять требования PCI DSS 6.6 в части осуществления постоянной защиты от 10 самых распространённых web-уязвимостей по версии OWASP.

Новые возможности в FortiWeb 4.0 МР3

На всех устройствах семейства продуктов FortiWeb установлена операционная система FortiWeb 4.0 МР3 с усовершенствованными функциями регистрации событий и формирования отчётности, улучшенной безопасностью и упрощёнными процедурами конфигурации.

FortiWeb 4.0 МР3 обеспечивает прозрачную интеграцию с FortiAnalyzer, предлагая удобные средства централизованного управления всеми журналами и отчётами, что в отличие от многих конкурентов позволяет отказаться от сбора и анализа информации устройствами сторонних производителей. Обработка данных в режиме реального времени существенно упрощается с помощью нового интерфейса FortiWeb, позволяя анализировать использование ресурсов web-серверов и гибко перераспределять нагрузку. Кроме того, администраторы безопасности могут проводить мониторинг событий в привязке к географическому местоположению источников и получателей трафика, что значительно упрощает анализ и выявление потенциальных угроз.

FortiWeb 4.0 МР3 имеет новый защитный функционал от атак отказа в обслуживании (DoS-атак). Используя новые алгоритмы, семейство продуктов FortiWeb анализирует запросы, поступающие от пользователей, отсеивая нелегитимные, а также предоставляет возможность блокировать на определенный период времени, не только конкретное соединение, но и отдельных пользователей. Реализованная поддержка сжатия данных позволяет более эффективного использовать пропускную способность канала и уменьшить время отклика. Кроме того, новые улучшения механизмов балансировки нагрузки обеспечивают распределение трафика на основе проверок и оповещений в случае сбоев сервера.

В обновленную операционную систему FortiWeb 4.0 МР3 был добавлен новый пользовательский интерфейс, который имеет быстрые настройки и интуитивно понятный интерфейс, аналогичные используемым во всей линейке FortiGate.

«Потребность в обеспечении безопасности web-приложений является приоритетной сейчас, так как количество web-транзакций постоянно растёт, соблюдение требований становится более жёстким, и всё больше предприятий и поставщиков услуг полагаются на web-приложения в своем бизнесе, – сказал Патрик Бэдвелл, вице-президент по маркетингу продуктов компании Fortinet. – Именно поэтому мы продолжаем разрабатывать новые инновационные решения по защите web-приложений, которые позволяют нашим заказчикам с уверенностью переносить большинство своих услуг в Интернет. С появлением нашего нового межсетевого экрана FortiWeb, мы поможем заказчикам защитить то, что в настоящее время является одним из приоритетных бизнес-направлений".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в Node.js ставят под удар миллионы Windows-приложений

Кураторы проекта Node.js из OpenJS Foundation выпустили обновления с патчами в ветках 24.x, 22.x и 20.x. Апдейты устраняют проблемы, актуальные для приложений Windows и веб-сервисов, использующих JavaScript-движок V8.

По оценкам экспертов, затронуты миллионы серверных и полнофункциональных приложений. Уровень угрозы в обоих случаях определен как высокий.

Уязвимость CVE-2025-27210 представляет собой возможность обхода защиты от path traversal (выхода за пределы рабочего каталога), которая проявляется при использовании API-функции path.join() и возникла из-за неполного патча для CVE-2025-23084.

Ошибка в реализации функции path.normalize() позволяет получить несанкционированный доступ к файлам и папкам с помощью недопустимого имени — такого как CON, PRN, AUX (в Windows резервируются для системных устройств, к которым можно обратиться напрямую).

Уязвимость CVE-2025-27209 классифицируется как HashDoS — возможность вызвать отказ приложения (DoS) через создание множественных коллизий хешей. Проблема была привнесена с выпуском Node.js 24.0.0, который изменил алгоритм вычисления хешей строк.

Реализованная в движке V8 хеш-функция rapidhash ускорила процесс, но при этом также открыла дверь для атак HashDoS. Злоумышленник, контролирующий ввод строк для хеширования, может скормить в хеш-таблицу данные таким образом, чтобы все они попали в один слот.

В результате скорость поиска элементов и вставки новых коллизий упадет, а потребление памяти будет расти, что в итоге приведет к DoS. Знания зерна алгоритма для генерации хеш-коллизий в данном случае не потребуется.

Патчи для Node.js включены в состав сборок 20.19.4, 22.17.1 и 24.4.1. Организациям, использующим Windows-приложения на основе Node.js, рекомендуется приоритизировать обновление.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru