MITRE CVE Common Vulnerabilities and Exposures База данных общеизвестных уязвимостей информационной безопасности

На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022–2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компан

Минцифры запускает второй этап проекта по поиску уязвимостей в инфраструктуре электронного правительства. Проверить защищенность систем можно на платформе Bi.Zone Bug Bounty. Вознаграждение багхантеров зависит от уровня критичности обнаруженн

Проверка на уязвимости Минцифры планирует до конца 2023 г. запустить программу тестирования информационных систем «белыми хакерами» Bug Bounty. Как стало известно «Коммерсанту», поиск уязвимостей будет развернут на «Госуслугах» и девяти собственных сервисах министерства — в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативн

кже интернет-банк и мобильное приложение. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 200 тыс. руб. Об этом CNews сообщили представители Bi.Zone. «Об

e Web Application Firewall (WAF), чтобы защитить пользователей Confluence от критической уязвимости CVE-2023-22515 (оценка угрозы по шкале CVSS — 10 баллов из 10). С начала октября 2023 г. злоу

Шесть индексов CVE Шесть уязвимостей нулевого дня во всех версиях почтового программного обеспечения (ПО) Ex

ки libxpm и libX11, которые развиваются в составе проекта X.Org. Среди пяти выявленных брешей две – CVE-2023-43786 и CVE-2023-43787 – возникли в 1988 г. (релиз X11R2). Еще пара ошибок да

видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID. Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями. Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе. Оставшиеся уязвимости Sangfor не смогла по

названный Sequoia и сбой в Sudo Unix (Baron Samedit). Также летом 2021 г. команда нашла уязвимость CVE-2021-33909 в ядре Linux, эксплуатация которой дает пользователю возможность выполнить люб

С пометкой «срочно» Apple была вынуждена выпускать срочные обновления для трёх уязвимостей нулевого дня, которые уже использовались хакерами. Две новые уязвимости выявлены в браузерном движке WebKit - CVE-2023-41993 - и фреймворке, обеспечивающем безопасность системы - CV

Около 12 тыс. функционирующих в сети файерволлов и маршрутизаторов Juniper SRX и EX содержат серию уязвимостей, которые в комбинации позволяют потенциальным злоумышленникам осуществлять запуск

ре около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализуют очень хит

и осуществляет последовательную эксплуатацию двух уязвимостей в программной оболочке Juniper SRX - CVE-2023-36846 и CVE-2023-36845. CVE-2023-36846 - это ошибка отсутствия авториз

Bug Bounty «Астры» В России впервые стартует программа по поиску уязвимостей в защищенности операционных систем (ОС). Bug Bounty запускает разработчик российской операционной системы Astra Linux компания «Астра». Об этом представители «Астры» рассказали CNew

обновляемый образ ОС с выполненными настройками безопасности, тестирование эффективности которых особенно интересно разработчикам. «Появление на нашей платформе программы, которая направлена на поиск уязвимостей в операционных системах, является для нас большим шагом. Мы рады сотрудничеству с ведущим опытным разработчиком, чьи решения находят эффективное применение в организациях с высокими

ь 2023 г. В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей. Результаты внедрения показали, что в большинстве организаций допускаются ошибки

ания получает доступ к неограниченному количеству исследователей, каждый со своим подходом к поиску уязвимостей. Объединение усилий штатных специалистов и багхантеров позволяет покрыть весь спе

стандартам безопасности, а также функции, позволяющие учитывать рекомендации ФСТЭК по приоритизации уязвимостей. Система обеспечивает полный цикл управления уязвимостями (vulnerability manageme

Рунет прикроют щитом Роскомнадзор намерен ограничить доступ иностранным сканерам уязвимостей к российскому сегменту интернета, о чем написал в своем официальном Telegram-кана

нтенсивных кибератак и дала рекомендации пользователям, как защитить себя. Речь идёт об уязвимостях CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010. Компания далеко не впервые обр

«Ренессанс банк» внедрил систему управления уязвимостями MaxPatrol VM. Продукт Positive Technologies, был встроен в уже налаженный процесс устранения уязвимостей банка. Это позволило своевременно заместить зарубежную систему того же класса от вендора, ушедшего с отечественного рынка, и продолжить выполнять непрерывный патч-менеджмент инфраст

» будет платить независимым багхантерам с платформы BI.Zone Bug Bounty за обнаружение потенциальных уязвимостей безопасности в продуктах и технологических решениях в рамках новой программы. Пои

Облачная платформа Yandex Cloud открыла общий доступ к сканеру уязвимостей Vulnerability Scanner. С помощью технологии пользователи платформы смогут эффективнее оценивать и улучшать уровень безопасности при разработке своих ИТ-проектов в облаке. Об этом CN

Nokia исправила пять уязвимостей в системе Nokia NetAct, обнаруженных экспертами Positive Technologies Владимиром

торжений UserGate (IDPS) новую сигнатуру, позволяющую детектировать попытку эксплуатации уязвимости CVE-2023-21554 QueueJumper в сервисе Message Queuing в ОС Windows. Microsoft Message Queuing

Timeweb с помощью BI.Zone запускает публичную программу по поиску уязвимостей, чтобы проверить безопасность сервисов и продуктов. Независимые исследователи получат от 10 тыс. до 250 тыс. руб. в зависимости от критичности найденных уязвимостей. Timeweb

Четыре критических уязвимости Сразу 18 уязвимостей нулевого дня нашли эксперты Google Project Zero в чипсетах Samsung Exynos. Эти чи

. CISA со своей стороны опубликовало бюллетень с предупреждением и присвоило выявленным уязвимостям CVE-индексы: CVE-2023–1748 (9,3 балла, встроенные реквизиты административного доступа)

для отслеживания почтовых отправлений. Цепочка эксплойтов для iOS включала вредоносы к уязвимостям CVE-2022-42856 (на тот момент она была еще неизвестна Apple), CVE-2021-30900 и уязвимо

Российский разработчик ПО компания Cloud Advisor добавила в свой продукт возможности выявления и приоритизации уязвимостей в операционных системах, пакетах и библиотеках на виртуальных машинах, работающих в публичных облаках «Яндекс.облако» и Cloud. Об этом CNews сообщили представители Cloud Advisor. Cl

объединению компетенций двух компаний заказчики получат полный спектр услуг, связанных с обеспечением цикла безопасной разработки. Проекты будут реализованы на базе комплексного решения для выявления уязвимостей Solar appScreener и будут включать услуги экспертного консалтинга «РТК-Солар» и SolidLab. Об этом CNews сообщили представители «Ростелекома». «По нашей оценке, в 2023 г. рынок безоп

Онлайн-сервис доставки продуктов «Сбермаркет» разместил свою публичную программу по поиску уязвимостей (багбаунти) на платформе BI.ZONE Bug Bounty. «Сбермаркет» будет платить вознаграж

9,8 баллов К критической уязвимости в Microsoft Windows CVE-2023-21716 выпущен пробный эксплойт. Это означает, что в ближайшее время можно ож

Российская платформа Standoff 365 запустила собственную публичную программу для поиска уязвимостей. Таким образом платформа готова открыто подтвердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов. Багбаунти-программа Standoff 365 будет доступна

ознакомиться в описании программы, предварительно пройдя регистрацию на платформе. Tumar.One — это платформа, на которой компании могут открывать программы для независимых исследователей по выявлению уязвимостей в информационных системах и ресурсах за вознаграждение.

тивно пользовались для взлома смартфонов iPhone и персональных компьютеров. Уязвимость нулевого дня CVE-2023-23529 может вызывать отказ в работе операционной системы или открывает возможность д

Bug bounty для электронного правительства Минцифры России объявило о запуске собственного проекта по поиску уязвимостей (bug bounty). Этичные («белые») хакеры смогут за вознаграждение оказать ведомству содействие в выявлении технических изъянов ресурсов электронного правительства. Как сообщили CNews

Министерство цифрового развития, связи и массовых коммуникаций России запускает проект по поиску уязвимостей в «Госуслугах» и других ресурсах электронного правительства. Тестирование доступно на платформе BI.ZONE Bug Bounty. Об этом CNews сообщили представители BI.ZONE. Программа пройдет в

VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BugBounty.ru. Это третье подобное партнерство: летом 2022 г. компания объявила о сотрудничестве с платформой Standoff 365 от Positive Technologies, а в ноя