Новый закон США запрещает передачу персональных данных России и Китаю

Новый закон США запрещает передачу персональных данных России и Китаю

Американские законодатели на этой неделе ввели новый документ, согласно которому конфиденциальные и персональные данные не должны попадать в страны, угрожающие национальной безопасности. Само собой, среди этих стран есть Россия.

Представленный сенатором США Джошем Хоули «Закон о национальной безопасности и защите персональных данных 2019» (PDF) обязывает компании хранить только необходимое для работы количество данных пользователей, а также ни при каких обстоятельствах не передать их странам-оппонентам.

В документе среди стран, вызывающих опасения Запада, упоминается Китай и Россия.

Согласно новому закону, собирающие данные технологические компании не должны использовать их для второстепенных задач: таргетированной рекламы, продаже третьим лицам или совершенствования технологии распознавания лиц.

Законодатели также обязывают компании предоставить пользователям всю информацию относительно собранных данных. Если клиент запрашивает удаление своих данных из баз компании, она должна выполнить просьбу.

Помимо этого, организации не должны передавать странам-оппонентам информацию, с помощью которой можно расшифровать данные (например, ключи шифрования).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

Команда Drupal выпустила обновления для ядра CMS в связи с тем, что в дефолтном шаблонизаторе сторонней разработки только что закрыли опасную уязвимость. Система управления контентом использует библиотеку Twig для обработки и санации шаблонов с 2015 года (с момента выхода версии 8), поэтому Drupal 7 проблема не затронула.

Согласно бюллетеню разработчика, уязвимость CVE-2022-39261 (выход за пределы каталога) проявляется при загрузке шаблонов с использованием загрузчика файловой системы, но только в тех случаях, когда имя вводится пользователем. В такой ситуации подача команды source или include обеспечит автору атаки доступ на чтение к файлам в закрытых для него папках — при условии использования пространства имен вроде @somewhere/../some.fil.

Причиной появления уязвимости является неадекватная проверка подобного пользовательского ввода. Патч включен в состав сборок Twig 1.44.7, 2.15.3 и 3.4.3.

Участники проекта Drupal оценили степень опасности CVE-2022-39261 в 18 баллов из 25 возможных по используемой ими шкале (соответствует 7,5 балла по CVSS). Из неприятных последствий эксплойта упомянут несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных.

Авторы публикации не преминули отметить, что в случае с CMS угрозу смягчает необходимость получить разрешение на ограниченный доступ. Однако это препятствие можно преодолеть с помощью стороннего или кастомного кода.

Для устранения проблемы пользователям рекомендуется перейти на новую сборку ядра — 9.3.22 или 9.4.7. Патчей в ветках, снятых с поддержки, не будет, поэтому лучше совершить апгрейд.

Минувшим летом в Drupal устранили еще одну уязвимость с оценкой «критическая» (по системе, принятой на проекте) — возможность удаленного выполнения PHP-кода. Установкам CMS версии 7 она тоже не страшна.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru