Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline tehek22927746851  
#1 Оставлено : 9 февраля 2021 г. 14:42:40(UTC)
tehek22927746851

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день!
Коллеги, нами было проведено сканирование на уязвимости сервера с установленной версией КриптоПро CSP 4.0.9975 (Euclid) от 30.08.2020.
И выдал следующий результат. Было обнаружено в версии КриптоПро CSP 4.0.9975 (Euclid) от 30.08.2020 уязвимости CVE-2020-9361/CVE-2020-9331 https://cve.mitre.org/cg....cgi?name=CVE-2020-9361. Уязвимости были обнаружены и опубликованы в феврале 2020 года, а новая версия КриптоПро CSP 4.0.9975 от августа. Хотелось бы узнать следующее, если ли в данной версии КриптоПро CSP 4.0.9975 (Euclid) от 30.08.2020 следующие уязвимости CVE-2020-9361/CVE-2020-9331 или они исправлены в данной версии? Так как отчет сканера и описание на сайте https://cve.mitre.org/cg....cgi?name=CVE-2020-9361, говорит следующее, что нужно ставить версию выше 5,0
Offline Максим Коллегин  
#2 Оставлено : 9 февраля 2021 г. 18:00:02(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
КриптоПро CSP 4.0 R4, обновлённый по извещению об изменениях (сертификат) и более свежие сборки (в том числе 4.0.9975) не подвержены этой уязвимости.
Знания в базе знаний, поддержка в техподдержке
Offline tehek22927746851  
#3 Оставлено : 9 февраля 2021 г. 18:12:40(UTC)
tehek22927746851

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Коллеги, большое спасибо!
Offline tehek22927746851  
#4 Оставлено : 9 февраля 2021 г. 18:24:57(UTC)
tehek22927746851

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Посмотрели changelog КриптоПро CSP 4.0 R4 КриптоПро CSP 4.0 R5 и не нашли записи что ВЫ эти уязвимости исправили. Подскажите, где можно ознакомиться, что Вы это исправили.

Отредактировано пользователем 9 февраля 2021 г. 18:55:33(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#5 Оставлено : 9 февраля 2021 г. 18:59:23(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Доработки проводились в оперативном режиме в плотном контакте с регулятором вне стандартного потока разработки, поэтому изменения не попали в changelog.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
tehek22927746851 оставлено 09.02.2021(UTC)
Offline Станислав Смышляев  
#6 Оставлено : 9 февраля 2021 г. 19:38:41(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый вечер!

Изменения в 4.0 R4 были согласованы в апреле 2020 года, выписка из заключения ФСБ России 149/3/2/2-924 от 29.04.2020 г.

Прикрепляю сканы подписанных извещений об изменениях.

4.0 1-Base.pdf (609kb) загружен 34 раз(а).
4.0 2-Base.pdf (606kb) загружен 23 раз(а).
4.0 3-Base.pdf (607kb) загружен 23 раз(а).

Отредактировано пользователем 9 февраля 2021 г. 19:39:25(UTC)  | Причина: Не указана

С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
thanks 1 пользователь поблагодарил Станислав Смышляев за этот пост.
tehek22927746851 оставлено 09.02.2021(UTC)
Offline tehek22927746851  
#7 Оставлено : 11 февраля 2021 г. 12:08:29(UTC)
tehek22927746851

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день, Уважаемые коллеги из КриптоПро и пользователи форума!
Коллеги из КриптоПро, огромное Вам спасибо за оперативные, четкие и краткие ответы.
Коллеги, можете добавить в файл (changelog) информацию, что Вы исправили уязвимости в версии КриптоПро CSP 4.0.9975 (Euclid) от 30.08.2020. Так как производитель отечественного сканера, с помощью которого были обнаружены данные уязвимости, не хочет подтверждать, что данных уязвимостей уже по факту нет. Вот ответ СТП отечественного сканера «К сожалению у тех. поддержки, в настоящий момент, этой информации нет. Vendor должен будет опубликовать официальную информацию. Как только появится любая информация по этому вопросу, мы сразу же Вам сообщим об этом»
Offline Станислав Смышляев  
#8 Оставлено : 11 февраля 2021 г. 13:12:12(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Сейчас мы напрямую общаемся с производителями сканеров, также готовы направить официальное письмо с разъяснениями при необходимости (за таким письмом просьба написать мне на svs@cryptopro.ru).
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline tehek22927746851  
#9 Оставлено : 11 февраля 2021 г. 14:01:02(UTC)
tehek22927746851

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2021(UTC)
Сообщений: 5
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.