Пресс-релизы //

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем.
Уязвимость, классифицированная как CVE-2024-40896 (CVSS 9.1) и получившая критическую оценку серьёзности 9,1, позволяет злоумышленникам использовать атаки типа XXE (XML External Entities) для компрометации систем и кражи данных. Киберпреступники могут использовать уязвимость для выполнения вредоносного кода. Помимо кражи данных, это может дать злоумышленникам полный контроль над системой и спровоцировать отказ в обслуживании (DoS), исчерпав системные ресурсы.
«Уязвимости класса XXE довольно редки и касаются программных продуктов, где используется XML. XML-процессор принимает какие-то данные в определённом формате и выдаёт результат. Проблемы начинаются, когда данные формируют таким образом, что заставляют XML-процессор сделать что-то, о чём не подумали разработчики, — прочитать системный файл, выполнить команду или даже повесить систему из-за бесконечного цикла операций. В этот раз уязвимость обнаружилась в крайне популярном libxml2, библиотеке, которая как раз и реализует работу в XML. При этом вы как разработчик можете и не знать, что эта библиотека используется в вашем продукте, если подключили её вместе с другими необходимыми для старта работы библиотеками. Даже при хорошо выстроенном процессе разработки программного обеспечения выявить такую уязвимость сложно. Однако есть продукты вроде Ankey ASAP, которые помогают выявить проблемы с ПО, даже если уязвимость ещё не опубликована. В ход идёт поведенческая аналитика и подобные механизмы. Для XML, безусловно, есть и альтернативы, но те тоже не лишены своих проблем», — отметил Сергей Полунин.

Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 17:05, 28.12.2024 Количество просмотров: 198
Страна: Россия

ITKey представляет обновление облачной платформы KeyStack: весомый шаг к новой архитектуре российских облаков, ITKey, 10:09, 14.10.2025, Россия101

Компания ITKey, ведущий российский разработчик и поставщик решений для построения облачной инфраструктуры, выпустила релиз KeyStack 2025.2.2 - обновление, которое формирует стандарт автоматизации и безопасности корпоративных облачных инфраструктур.

BSS, ITFB Group и «Уральские авиалинии» представили итоги совместного проекта: интеллектуальная база знаний InKnowledge повысила эффективность контакт-центра на 50%, BSS, 09:44, 14.10.2025, Россия114

«Уральские авиалинии» сократили количество повторных обращений пассажиров в контакт-центр на 50% после внедрения интеллектуальной базы знаний InKnowledge. Решение, разработанное компанией L2U (входит в ГК BSS) и внедренное ITFB Group, позволило авиакомпании решить одну из самых болезненных проблем клиентского сервиса — предоставление противоречивой информации разными операторами.

Axenix принял участие во вручении премии имени Беляева за популяризацию ИИ, Axenix, 09:44, 14.10.2025, Россия108

12 октября в Пушкинском доме культуры в Санкт-Петербурге состоялось торжественное награждение лауреатов Международной премии имени выдающегося русского писателя-фантаста Александра Беляева. Впервые в истории премии в состав жюри был включен искусственный интеллект.

Арт-группа ZUKCLUB завершила реставрацию монументальной росписи на историческом заборе Лахмана на ВДНХ, ZUKCLUB, 09:44, 14.10.2025, Россия112

Арт-группа ZUKCLUB завершила в сентябре 2025 года работы по реставрации и обновлению собственной монументальной росписи на легендарном бетонном заборе ПО-2 на ВДНХ. Первоначальное художественное преображение объекта, реализованное группой два года назад, было успешно восстановлено с применением профессиональных материалов, гарантирующих долговечность арт-объекта.

CompTek обучит инженеров и системных администраторов работе со Space VDI, ДАКОМ М, 09:44, 14.10.2025, Россия107
30 октября в Учебном центре CompTek стартует курс «Базовое администрирование Space VDI». Курс адресован сетевым администраторам и инженерам службы эксплуатации.

«Единая клинико-диагностическая лаборатория» подключилась к ЕГИСЗ с помощью N3.Health, Нетрика, 09:42, 14.10.2025, Россия106

«Единая клинико-диагностическая лаборатория» в Республике Дагестан внедрила сервис N3.Health ОДЛИ, разработанный компанией «ЭлНетМед», для интеграции с ЕГИСЗ и организации обмена данными с государственными медицинскими учреждениями региона.

CommuniGate Pro представил стратегию миграции для пользователей Microsoft Exchange, CommuniGate Pro, 09:42, 14.10.2025, Россия108

Российский разработчик предлагает бизнесу и государственным организациям методологию плавного перехода на отечественную почтовую платформу для обеспечения безопасности и бесперебойности коммуникаций в преддверии окончания поддержки ряда продуктов Microsoft с 14 октября 2025 года.

Новая премия в email-маркетинге: на Unisender @wards выберут лучшие письма в России, Unisender, 09:42, 14.10.2025, Россия109

Платформа автоматизации маркетинга Unisender запускает именную премию Unisender @wards: каждый год жюри будут выбирать самые сильные email-рассылки в нескольких номинациях. Первое награждение состоится в Москве 1 ноября 2025 года.

«Группа Астра» и НОТА создадут ПАК на базе Astra Linux Embedded, ПАО ГРУППА АСТРА, 17:02, 13.10.2025, Россия194

В рамках форума инновационных финансовых технологий «Финополис 2025» представители двух ведущих российских ИТ‑компаний подписали соглашение о совместной разработке программно‑аппаратных комплексов, представляющих собой терминалы на базе ПО от платформы корпоративных коммуникаций DION и встраиваемой версии операционной системы Astra Linux Embedded.

Платформа SpaceVM 6.5.8 совместима с MULTIDIRECTORY Enterprise 2.4.0-01е, ДАКОМ М, 14:48, 13.10.2025, Россия162
«ДАКОМ М» и МУЛЬТИФАКТОР подтвердили совместимость и корректность работы своих продуктов.

БФТ-Холдинг и ИТ-экосистема «Лукоморье» заключили соглашение о технологическом партнёрстве, БФТ-Холдинг, 14:48, 13.10.2025, Россия162

9 октября на площадке форума «Финополис» БФТ-Холдинг и ИТ-экосистема «Лукоморье» подписали соглашение о технологическом сотрудничестве. Цель партнёрства — расширение партнёрского портфеля БФТ-Холдинга для предложения комплексных решений корпоративным и государственным заказчикам.

БФТ-Холдинг и «Тантор Лабс» подписали соглашение о стратегическом партнёрстве, БФТ-Холдинг, 14:37, 13.10.2025, Россия86
9 октября 2025 года на форуме «Финополис» БФТ-Холдинг и компания «Тантор Лабс» (входит в «Группу Астра») заключили стратегическое соглашение о технологическом партнёрстве.

«Группа Астра» и АТОЛ расширяют линейку совместимых устройств для финансового сектора, ПАО ГРУППА АСТРА, 09:55, 13.10.2025, Россия119

На форуме инновационных финансовых технологий «Финополис» представители «Группы «Астра» и ведущего разработчика платежных решений АТОЛ подписали новое соглашение о сотрудничестве, направленное на масштабное расширение линейки оборудования для автоматизации бизнеса, совместимого с отечественной операционной системой Astra Linux.

HR в эпоху цифры: от подбора специалистов до развития компетенций, UDV Group, 09:47, 13.10.2025, Россия122

Рынок труда в 2025 году меняется быстрее, чем когда-либо: автоматизация, ИИ и цифровые платформы перестраивают привычные процессы подбора и развития сотрудников.

LUIS+: за цифрами ИИ — живые люди с их потребностями и мечтами, LUIS+, 09:47, 13.10.2025, Россия100

Анна Крамаренко, старший HR бизнес-партнер LUIS+, рассказала о том, как в компании создают среду, где люди чувствуют поддержку, видят перспективы роста и остаются мотивированными даже в сложных условиях рынка.