Сегодня, 25 июля, отмечается День системного администратора — праздник, который объединяет всех, кто отвечает за информационную инфраструктуру компаний⌨️

Поздравляем всех причастных с профессиональным праздником! Желаем вам радости в жизни, терпения, упорства и внимательности в работе😉
#gis_открытка

⏺В популярной спецификации Java Content Repository (JCR) с открытым исходным кодом Apache Jackrabbit, которая применяется в корпоративных CRM и системах управления контента, обнаружена, а теперь и устранена разработчиками критическая уязвимость, позволявшая злоумышленникам фактически «проехать зайцем» в самые важные корпоративные данные.

🗣Ирина Дмитриева, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», отметила, что популярность Jackrabbit оправдана широким функционалом, включая хранение структурированного и неструктурированного контента, полнотекстовый поиск, управление версиями и транзакциями. Тем опаснее оказалась критическая брешь CVE-2025-53689, затрагивающая компоненты jackrabbit-spi-commons и jackrabbit-core, подвергая организации риску слепых XXE-атак.

«Оправдана угроза XML External Entity некорректным парсингом XML: при загрузке привилегий используется незащищённая сборка документа. Риск зашкаливает там, где принимают XML-данные от пользователей – это не теоретическая, а прямая угроза, приводящая к инциденту. Именно так злоумышленник, способный подсунуть свой XML через REST API, импорт в CMS или автоматизированный воркфлоу, может незаметно скомпрометировать файлы в системе, провести SSRF-атаку, задействуя сервер как прокси для атаки на внутренние системы, а также провести успешную DoS-атаку»,— подчеркнула эксперт.

Компания Apache оперативно отреагировала и призывает всех пользователей немедленно обновиться до последних исправленных версий в зависимости от используемой среды Java: до версии 2.20.17 (для Java 8), до версии 2.22.1 (для Java 11), до версии 2.23.2-beta (для Java 11 бета).

Для борьбы с XXE-уязвимостями в Jackrabbit, да и в целом с подобными угрозами, Ирина Дмитриева рекомендует централизованный и проактивный подход:

«Первостепенно уязвимые версии нужно идентифицировать в лицо и понимать их общее число в инфраструктуре. Автоматизированные сканеры инфраструктуры – первый обязательный инструмент. Дополнительно рекомендуется интегрировать сканирование на уязвимости непрерывно в CI/CD и в работающую инфраструктуру и искать не только по CVE, но и по названию компонента и версиям. Всё это формирует потребность в постоянном мониторинге инфраструктуры на появление запрещённых или уязвимых версий ПО. Efros DefOps от компании "Газинформсервис" бьёт точно в цель, агрегируя данные из разных источников в единую картину, включая версии ПО и зависимости. DefOps — движущая сила для построения практики управления уязвимостями и версиями ПО на уровне всего стека разработки и эксплуатации систем».

#gis_новости #efros_defops

⏺ФСТЭК в двадцатых числах июля предупредила об обнаружении уязвимости BDU:2025-08714 в Microsoft SharePoint Server, критичность которой получила оценку в 9,8 (из 10) по CVSS. Ее эксплойт опубликован и уже используется злоумышленниками в реальных атаках. Microsoft выпустила исправления для продукта, и его рекомендуется максимально быстро установить.

Обнаруженная ошибка связана с недостатками механизма десериализации программных объектов, что позволяет реализовать атаку через восстановление в памяти недостоверных кодов с последующим их исполнением (CWE-502). Уязвимость подобного класса позволяет нарушителю, действующему удалённо, выполнить произвольный код.

«Microsoft SharePoint Server в РФ сегодня, может быть, и не самый популярный продукт: по открытым источникам, им пользуется не более 10% компаний, – поделился своими сведениями с TAdviser Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис». – Однако это исключительно крупные компании, для которых важна надежность решений и интеграция с другими продуктами Microsoft. Это решение можно встретить везде, от госструктур до крупных телекомов, а вот малый и средний бизнес, как правило, переходит на что-то менее тяжелое».

Полную статью можно найти здесь.
#gis_полезности

😅 Операционная система «ОСнова» и средство криптографической защиты информации Litoria Desktop компаний АО «НППКТ» и «Газинформсервис» успешно прошли тестирование на совместимость. Подтверждена полная совместная работоспособность и возможность эффективного использования продуктов компаний при задачах импортозамещения.

«ОСнова» — отечественная операционная система общего назначения, которая отличается уникальным подходом к оптимизации и надёжности, обладает обширной экосистемой совместимого ПО, отвечает современным требованиям защиты и идеально подходит для импортозамещения.

Litoria Desktop 2 — универсальное средство работы с электронной подписью (СКЗИ), которое обеспечивает широкие возможности работы с инфраструктурой открытых ключей (PKI), в том числе создание и проверку электронной подписи, управление сертификатами и контейнерами, шифрование и расшифровывание файлов.

«В условиях активного импортозамещения расширение совместимости с продуктами отечественной разработки — это стратегический приоритет для всех российских вендоров, включая компанию "Газинформсервис" и АО "НППКТ". Результатом этой работы неизбежно является повышение качества ПО, отчего выигрывает конечный пользователь, получая больше хороших продуктов и возможностей их совместного использования», — сказал Богдан Мишко, менеджер линейки продуктов Litoria компании «Газинформсервис».

#gis_новости #litoria_desktop

👍👍👍👍👍👍 Компания «Газинформсервис» успешно прошла независимый аудит, подтвердив соответствие системы менеджмента качества (СМК) международному стандарту ISO 9001:2015 и национальному стандарту ГОСТ Р ИСО 9001-2015. Проверку проводила компания «Русский Регистр».

«Для нас прохождение независимого аудита и подтверждение соответствия СМК стандартам ISO и ГОСТ — это не формальность, а фундаментальное доказательство нашего системного подхода к работе. В условиях постоянно растущих требований к надежности и безопасности соответствие таким стандартам, как ISO и ГОСТ, становится ключевым фактором доверия и конкурентного преимущества. Это подтверждает стабильность и уверенность на каждом этапе нашей работы», — отметил Николай Нашивочников, заместитель генерального директора — технический директор компании «Газинформсервис».

Наличие сертификата ISO 9001 — это важное условие для возможности участия в масштабных проектах, включая государственные заказы и сотрудничество с крупными корпоративными структурами, а также для выхода на международные рынки. Продление сертификата свидетельствует о строгом соблюдении внутренних процессов и стандартов качества на всех этапах деятельности компании.

«Независимый аудит удостоверяющих центров и поставщиков услуг доверия в целом — это один из критериев, используемых для оценивания надежности электронной подписи. Это — общемировая практика, закрепленная в статье 10 «Надежность» типового закона UNCITRAL «Об электронных подписях» 2001 года. Пройдя независимый аудит СМК, наши аккредитованный УЦ и сервис доверенной третьей стороны подтвердили высокий показатель надежности услуг, предоставляемых пользователям», — отметил Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис».

#gis_новости

⏺Компании "Газинформсервис" и РАУ ИТ заключили стратегическое партнерство, чтобы предложить российскому бизнесу безопасное внедрение решений 1С. Фокус сделан на предприятиях с объектами критической информационной инфраструктуры (КИИ), таких как нефтегазовая, топливно-энергетическая и другие отрасли, где требования к информационной безопасности особенно высоки.

В рамках сотрудничества РАУ ИТ отвечает за интеграцию флагманских продуктов 1С, включая 1С:ERP, 1С:ЗУП КОРП и других. "Газинформсервис" обеспечивает комплексную защиту информации, контроль безопасности ERP-систем, размещенных на платформах 1С. Это позволяет заказчикам обеспечить соответствие информационной безопасности критической информационной инфраструктуры всем требованиям регуляторов, таких как ФСТЭК России.

"Многим предприятиям требуется не только внедрить систему управления предприятием, но и обеспечить безопасность платформы и кода, а также тщательно подойти к вопросу использования и хранения персональных данных — подчеркивает Коммерческий директор РАУ ИТ Эдуард Пржибыш, — именно поэтому РАУ ИТ больше года привлекает экспертов "Газинформсервиса" для реализации проектов с особыми требованиями к информационной безопасности, например, объектов с критической информационной инфраструктурой".

"Защита данных — неотъемлемая часть любого современного проекта, — подчеркивает Римма Кулешова, менеджер продукта SafeERP компании "Газинформсервис". — Наше партнерство с РАУ ИТ позволяет клиентам получить комплексное решение, объединяющее эффективность 1С с надежной защитой от киберугроз".

#gis_новости #safeerp

«Биржа ИБ и IT-стартапов»: перспективные проекты уже на месте, но серьёзная конкуренция ещё впереди🔥

Эксперты в области информационных технологий готовы оценить перспективы вашего проекта. Не упустите возможность продемонстрировать свои достижения!

Для того, чтобы стать частью проекта, нужно просто:
⏺перейти на сайт проекта
⏺заполнить анкету участника до 28 августа включительно
⏺подготовить и отправить презентацию проекта на [email protected]

💡Не позволяйте возможности пройти мимо – продемонстрируйте свой потенциал!
#gis_стартапы