Cisco не согласна с мнением, что ослабить шифрование можно без бэкдора

Cisco не согласна с мнением, что ослабить шифрование можно без бэкдора

Cisco не согласна с мнением Питера Даттона, члена Австралийской либеральной партии, который заявил, что новый законопроект, обязывающий техногигантов ослабить шифрование, не станет причиной появления бэкдоров в их продукции.

На слушаниях в Канберре представители компаний Cisco, Optus и Telstra призвали снабдить законопроект пунктом, согласно которому от технологических компаний не могут требовать систематического создания уязвимостей в продуктах.

Многие правозащитные организации и сами техногиганты не раз утверждали, что ослабление шифрования повлечет за собой последствия для добропорядочных пользователей продукции. Согласно новому документу, генеральный прокурор сможет выпустить новые технические требования, которые обяжут корпорации сотрудничать со спецслужбами.

Ранее в октябре Питер Даттон заявлял, что законопроект не подразумевает создания бэкдоров — «никакого ослабления шифрования не будет». Однако Эрик Венгер, главный по кибербезопасности в Cisco, чьи слова передает The Guardian, заявил, что создание нового доступа, которого раньше не было, в сущности, будет означать наличие бэкдора.

В сентябре мы писали, что входящие в альянс спецслужб Five Eyes страны, среди которых США, Великобритания, Канада, Австралия, Новая Зеландия, требуют от технологических компаний реализовать бэкдор для доступа к зашифрованным данным пользователей. Также продумываются меры воздействия на компании, которые принудят их ослабить шифрование.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

Команда Drupal выпустила обновления для ядра CMS в связи с тем, что в дефолтном шаблонизаторе сторонней разработки только что закрыли опасную уязвимость. Система управления контентом использует библиотеку Twig для обработки и санации шаблонов с 2015 года (с момента выхода версии 8), поэтому Drupal 7 проблема не затронула.

Согласно бюллетеню разработчика, уязвимость CVE-2022-39261 (выход за пределы каталога) проявляется при загрузке шаблонов с использованием загрузчика файловой системы, но только в тех случаях, когда имя вводится пользователем. В такой ситуации подача команды source или include обеспечит автору атаки доступ на чтение к файлам в закрытых для него папках — при условии использования пространства имен вроде @somewhere/../some.fil.

Причиной появления уязвимости является неадекватная проверка подобного пользовательского ввода. Патч включен в состав сборок Twig 1.44.7, 2.15.3 и 3.4.3.

Участники проекта Drupal оценили степень опасности CVE-2022-39261 в 18 баллов из 25 возможных по используемой ими шкале (соответствует 7,5 балла по CVSS). Из неприятных последствий эксплойта упомянут несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных.

Авторы публикации не преминули отметить, что в случае с CMS угрозу смягчает необходимость получить разрешение на ограниченный доступ. Однако это препятствие можно преодолеть с помощью стороннего или кастомного кода.

Для устранения проблемы пользователям рекомендуется перейти на новую сборку ядра — 9.3.22 или 9.4.7. Патчей в ветках, снятых с поддержки, не будет, поэтому лучше совершить апгрейд.

Минувшим летом в Drupal устранили еще одну уязвимость с оценкой «критическая» (по системе, принятой на проекте) — возможность удаленного выполнения PHP-кода. Установкам CMS версии 7 она тоже не страшна.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru