СёрчИнформ ProfileCenter вошёл в Реестр отечественного ПО

СёрчИнформ ProfileCenter вошёл в Реестр отечественного ПО

Продукт компании «СерчИнформ Профайлинг» вошёл в Единый реестр российских программ для электронных вычислительных машин и баз данных. Решение соответствует всем требованиям регулятора и рекомендовано для закупки государственными организациями и компаниями с долей государственного участия.

Отметим, что только с наличием записи в реестре программные продукты могут официально использоваться в импортозамещающих организациях. Поэтому включение в Реестр отечественного ПО – это важное событие для компании «СерчИнформ Профайлинг».

«Наш продукт полезен службам ИБ как в бизнесе, так и в государственных органах. Решение выявляет и ограничивает группу риска по информационной безопасности, а также помогает определить важные личностные характеристики сотрудников: сильные и слабые стороны, уровень выгорания, лидерские качества, менеджерский потенциал и другие моменты. Имея на руках такую информацию, бизнес может не только качественно управлять рисками со стороны персонала, но и использовать полученные данные для грамотного построения команд и повышения личной и командной эффективности сотрудников», – прокомментировал новость, научный руководитель проекта «СёрчИнформ ProfileCenter» Алексей Филатов.

Реестр отечественного ПО создан в 2016 году. Его цель – расширить использование российских программ и оказать государственную поддержку правообладателям. Это значит, что госкомпании ищут необходимые им программные продукты первоочерёдно в этом перечне. На данный момент в нем содержатся сведения о 11 061 программе, разработанной отечественными IT-специалистами.

Компания «СерчИнформ Профайлинг» существует с 2018 года, является резидентом инновационного центра «Сколково». Главные направления работы – информационная безопасность и разработка системы для анализа кадровых рисков «СёрчИнформ ProfileCenter». Продукт компании анализирует переписку сотрудников в почте, мессенджерах и социальных сетях, что позволяет дать достоверную психологическую и рабочую оценку кадров и снизить риски возникновения ИБ-инцидентов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Drupal устранили CSRF-уязвимости и обход ограничений на доступ

Разработчики Drupal выпустили обновления безопасности для веток 8.9, 9.1 и 9.2. В модулях ядра CMS-системы объявились пять уязвимостей; три из них грозят обходом ограничений по контенту на сайте, две — атакой CSRF (cross-site request forgery, подделка межсайтовых запросов).

Все новые проблемы признаны умеренно критичными; они получили от 10 до 14 баллов из 25 возможных по шкале CMSS. (На проекте используется система оценки, рекомендованная американским институтом стандартов и технологий — NIST).

Наиболее опасна CSRF-уязвимость CVE-2020-13674 (14 баллов по CMSS), связанная с работой модуля QuickEdit. Причиной ее появления является неадекватная проверка прав на изменение пути к файлу. Эксплойт в данном случае может привести к нарушению целостности данных.

Другая возможность CSRF (CVE-2020-13673) менее опасна, ее оценили в 10 баллов из 25. Она возникла из-за некорректной работы модуля Media, позволяющего встраивать внутренний и внешний медиаконтент в поля текущей страницы. Как оказалось, с помощью этого инструмента можно внедрить на страницу сторонний HTML-код от имени пользователя, обладающего правом доступа к фильтрам Media.

Уязвимость CVE-2020-13677 вызвана неспособностью модуля JSON:API строго ограничить доступ к некоторым видам контента. Проблема CVE-2020-13675 грозит загрузкой на сайт вредоносного файла при включенном модуле REST/File или JSON:API. В появлении CVE-2020-13676 повинен QuickEdit, который невнимательно проверяет разрешения на доступ к полям при редактировании контента.

Патчи включены в состав обновлений 9.2.6, 9.1.13 и 8.9.19. Седьмую версию Drupal эти проблемы не затрагивают; для Drupal 8 сборок ниже 8.9.x и Drupal 9 ниже 9.1.x заплаток не будет: срок поддержки таких версий истек.

Хотя эту CMS-систему используют лишь 1,4% сайтов в интернете, массовые атаки на сайты с использованием ее уязвимостей нередки. Пользователям настоятельно рекомендуется обновить свои установки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru