Orion soft на Standoff Bug Bounty нашла 10 уязвимостей в системе zVirt

Екатерина Быстрова 11 Августа 2025 - 13:33

Корпорации

Positive Technologies

Средства поиска уязвимостей

Bug Bounty

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Аудит информационной безопасности

Эксплойты

Уязвимости программ

...

Orion soft на Standoff Bug Bounty нашла 10 уязвимостей в системе zVirt

Orion soft подвела первые итоги участия в программе по поиску уязвимостей на платформе Standoff Bug Bounty. В рамках тестирования системы виртуализации zVirt специалисты компании выявили и устранили ряд некритических уязвимостей.

Закрытое тестирование началось в ноябре 2024 года, и Orion soft решила продлить участие в программе по поиску уязвимостей.

Основная задача — найти бреши, которые могут привести к эскалации привилегий до уровня суперпользователя, а также к нарушению конфиденциальности, целостности или доступности виртуальных машин и данных.

Русскоязычный веб-интерфейс zVirt позволяет управлять серверами виртуализации, хранилищами, кластерами и виртуальными машинами из единой консоли. Сейчас продукт используется на более чем 13 600 хостах по всей стране, а число заказчиков превышает 430 организаций.

За время участия в Standoff Bug Bounty компания получила от исследователей 24 отчёта, из которых 14 находятся в работе. Каждый документ включал название уязвимости, список затронутых версий и компонентов, PoC с шагами воспроизведения, описание возможного сценария атаки и рекомендации по устранению.

«Защищённость — важнейший критерий зрелости ПО для виртуализации и одно из ключевых направлений развития zVirt, — сказал Александр Гавриленко, руководитель направления технологических партнёрств Orion soft. — Мы вышли на Standoff Bug Bounty, чтобы повысить уровень безопасности продукта за счёт обнаружения и исправления потенциальных уязвимостей, а также повысить уровень безопасности разработки. С ноября 2024 года белые хакеры обнаружили 10 уязвимостей. Среди них не было ни одной критической, и только две — высокого уровня. Мы уже исправили наиболее значимые уязвимости, в том числе в свежем релизе zVirt 4.4, и продолжаем закрывать оставшиеся. Использование нашего продукта стало ещё безопаснее».

Платформа Standoff Bug Bounty работает с мая 2022 года. За это время на ней появилось более 200 программ по поиску уязвимостей, а общее количество исследователей превысило 27 тысяч. Всего за три года им выплатили свыше 274 млн рублей вознаграждений.

В прошлом году Standoff Bug Bounty включили в реестр российского софта.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 10 Января 2026 - 20:16

Linux GenAI (генеративный искусственный интеллект) Общее

Линус Торвальдс резко высказался против ИИ-слопа в ядре Linux

Пока мир захлёбывается от LLM-ботов и бесконечного ИИ-слопа, ядро Linux, похоже, остаётся последним бастионом здравого смысла. По крайней мере, если судить по свежей реакции Линуса Торвальдса на дискуссию вокруг использования ИИ в разработке ядра.

Создатель Linux довольно резко высказался по поводу идеи как-то отдельно регулировать или документировать вклад, сделанный с помощью LLM-помощников.

Поводом стало сообщение разработчика ядра Лоренцо Стоукса, связанного с Oracle, который усомнился в популярной формуле «LLM — это просто ещё один инструмент» и назвал такую позицию наивной.

Ответ Торвальдса был, мягко говоря, недипломатичным — в его стиле:

«Нет. Глупая тут как раз твоя позиция. Говорить об “ИИ-слопе” — это просто идиотизм. Люди, которые клепают плохие патчи с помощью ИИ, не будут добросовестно это документировать. Это настолько очевидно, что я вообще не понимаю, зачем это обсуждать».

Дальше — ещё жёстче. По мнению Торвальдса, документация ядра не должна превращаться в идеологическое поле боя между апологетами ИИ и сторонниками «конца света»:

«Я не хочу, чтобы документация по разработке ядра становилась заявлением об ИИ. У нас и так хватает людей по обе стороны — от “всё пропало” до “ИИ революционизирует разработку”».

Именно поэтому он настаивает на нейтральной формулировке «просто инструмент». Не потому, что он безоговорочно верит в LLM, а потому что документация — не место для деклараций.

При этом позиция Торвальдса остаётся, как ни странно, неоднозначной. Формально он не запрещает использование ИИ-помощников и, похоже, понимает, что запрет был бы бессмысленным. Если LLM-боты можно использовать тайком, их всё равно будут использовать. Просто не скажут об этом.

Контекст у спора вполне реальный. Команды разработчиков уже работают над чёткими рекомендациями по написанию патчей с помощью ИИ, а сами инструменты активно применяются на практике.

Сам Торвальдс раньше высказывался об ИИ куда мягче. В 2024 году он говорил, что 90% ИИ-маркетинга — это хайп, а позже неожиданно допустил вайб-кодинг, но с оговоркой: «если это не для чего-то важного». С этим, впрочем, далеко не все согласились — включая технических журналистов.

Кроме того, Линус в декабре неожиданно оправдал Windows BSOD.