Вышел технический релиз обновленной версии vGate R2 с новыми функциями управления

Вышел технический релиз обновленной версии vGate R2

Александр Панасенко 07 Апреля 2015 - 12:41

Корпорации

Код Безопасности

vGate

Системы защиты от утечек конфиденциальной информации (DLP)

СТО БР ИББС

...

Вышел технический релиз обновленной версии vGate R2

Компания «Код Безопасности» сообщает о выходе технического релиза обновленной версии решения по защите виртуализации vGate, предназначенного для платформ VMware vSphere и Microsoft Hyper-V. В обновленную версию vGate R2 (релиз 2.8) добавлены новые функции по администрированию системы и механизмы защиты. В частности, введены новые режимы функционирования: тестовый и аварийный.

По умолчанию после установки продукта включается тестовый режим. В этом режиме администратор ИБ может производить настройку и отладку системы, не блокируя работу виртуальной инфраструктуры (ВИ). По завершению настройки система защиты переводится администратором в штатный режим работы. В случае наступления критических событий в инфраструктуре виртуализации администратором безопасности может быть включен аварийный режим, при котором работа vGate полностью прозрачна и не оказывает влияния на виртуальную инфраструктуру.

В обновленном vGate также реализована поддержка развертывания средств управления Web Client Server и vCenter Server на одном сервере. Добавлена поддержка аутентификации пользователей по электронным идентификаторам JaCarta ГОСТ.

Для приведения инфраструктуры виртуализации в соответствие требованиям регуляторов в vGate версии 2.8 обновлены наборы политик безопасности по соответствию приказам ФСТЭК России № 17 и № 21, стандартам СТО БР ИББС, PCI DSS, CIS security benchmarks 5.5; добавлена возможность создания отчета о назначенных на объекты инфраструктуры политиках безопасности.

В vGate (релиз 2.8) также значительно расширены возможности консоли управления, в частности, добавлены:

новый механизм уведомления администратора о блокировке продуктом vGate действий пользователей;
механизм разграничения доступа к консоли виртуальных машин (ВМ) по меткам конфиденциальности;
отображение событий аудита по выбранному объекту;
возможность экспорта/импорта конфигурации vGate;
возможность отключения контроля мандатного доступа по типам объектов;
автоматическое обновление событий аудита и др.

В редакцию vGate (релиз 2.8) для Microsoft Hyper-V также были добавлены новые защитные механизмы, в частности:

механизм контроля целостности ВМ и оповещения администратора ИБ об изменении свойств ВМ;
мандатный принцип разграничения доступа с возможностью назначать метки на хранилища и сетевые интерфейсы.

Новые версии vGate R2 и vGate-S R2 (для защиты сведений, составляющих государственную тайну) переданы в ФСТЭК России для прохождения инспекционного контроля и подтверждения выданных ранее сертификатов соответствия от 28.03.2011 № 2308 и от 12.07.2011 № 2383.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 08 Января 2026 - 18:51

Linux Уязвимости программ Домашние пользователи Корпорации

Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

Вышел технический релиз обновленной версии vGate R2

Читайте также