Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.
Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.
Всего выявили 191 дефект:
🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)
🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)
Исправления интегрировали в основные ветки проектов.
Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.