Обнаружены и исправлены дефекты в open-source компонентах для виртуализации

В open source для виртуализации обнаружено две сотни дефектов Компания «Базис» и Институт системного программирования ИСП РАН совместно с испытательной лабораторией «Фобос-НТ» провели тестирование компонентов с открытым кодом, которые используются в отечественном ПО для виртуализации – результаты неутешительные: был выявлен и исправлен 191 дефект кода, а еще 92 были оставлены неисправленными. Проверке подверглись веб-сервер nginx, брокер сообщений ActiveMQ Artemis, сервер каталогов Apache Directory, библиотека для сбора данных телеметрии виртуальных машин libvirt-exporter и эмулятор аппаратного обеспечения QEMU. Некоторые из дефектов оказались уязвимостями в случае использования в ПО. Например, при фаззинг-тестировании были обнаружены дефекты, связанные с переполнением буфера, а также несколько проблем, связанных с неоптимальной работой функций в отношении некоторых контроллеров. Эти уязвимости на сервере каталогов Apache Directory были оценены как имеющие высокий уровень опасности. На данный момент проблемы исправлены. Оставшиеся дефекты, по словам директора департамента внедрения и развития РБПО НТЦ «Фобос-НТ» Дмитрия Пономарева, «фактически не влияют на функциональность продукта». Всё-таки дефекты – это не баги, а скорее недоработки: неверный выбор констант, параметров и прочие недочеты. Даже если код написан идеально, разработчик может задать неверные настройки компилятора, в результате чего ПО окажется собранным небезопасно. Так что не стоит слишком строго судить авторов open source’а

«Базис» и ИСП РАН обнаружили уязвимости в открытом коде для виртуализации Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые из которых можно охарактеризовать как уязвимости. Исследование проходило при помощи фаззинг-тестирования – за счет него выявлено 5 дефектов в Apache Directory LDAP API и 8 в библиотеке libvirt, которой уделили особое внимание libvirt. Библиотека предоставляет API для управления виртуальными машинами, поэтому сбой в ее работе может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Большая часть дефектов приводили к переполнению буфера. Специальное разработанные фаззинг-тесты для наиболее критичных компонентов открытого ПО доступны в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО. Применили и статический анализ. С его помощью выявлены еще 178 дефектов в коде, после чего создано 86 исправлений, преимущественно для популярного брокера сообщений ActiveMQ Artemis и сервера каталогов Apache Directory. Если исправления примут в основные ветки и учтут при следующих обновляениях, то OS-продукты, используемые Базисом, станут безопаснее и качественнее. Хочется надеяться, что подобные усилия станут распространенной практикой в российской ИТ-индустрии. НеКасперский

Вендор «Базис» отчитался о проведенном совместно с ИСП РАН тестировании уязвимостей в компонентах с открытым кодом для виртуализации. Сообщают, что процедура проходила на мощностях испытательной лаборатории «Фобос-НТ» с привлечением студентов из МГТУ им. Н.Э. Баумана и Чувашского государственного университета. Что примечательного? Open-source элементы используются в инструментах виртуализации по всему миру, в том числе в продуктах компании и всех решений виртуализации в России. Это обуславливает необходимость тщательного тестирования для обнаружения возможных проблем и, в особенности, уязвимостей и угроз утечек. Исследователи изучили следующие «открытые» компоненты: - nginx, - ActiveMQ Artemis, - Apache Directory, - libvirt-exporter, - QEMU. Nginx, в частности, используется для балансировки нагрузки в виртуальных средах, и качество этих сред влияет на многие российские и зарубежные решения для работы с ними. Libvirt-exporter предоставляет API для управления виртуальными машинами, и потому этой библиотеке уделяется особое внимание, так как её сбой может повредить инфраструктуру и привести к утечке конфиденциальных данных. Каковы результаты? В ходе статического анализа обнаружено 178 дефектов, большинство из которых связано с популярным брокером сообщений ActiveMQ Artemis и сервером каталогов Apache Directory. Изучив ошибки, специалисты ИСП РАН и «Базис» подготовили 86 исправлений для продуктов компании. Помимо этого, фаззинг-тестирование обнаружило еще 13 дефектов в коде, включая 5 в Apache Directory LDAP API и 8 в библиотеке libvirt. Вывод же из этого следующий – элементы открытого кода в разработке это, конечно, неплохо. Но также не стоит при выборе решений забывать о потенциальных рисках и угрозах, способных прийти с этой стороны. Не помню, что такая практика была в ходу в отрасли, но было бы неплохо и другим разработчикам виртуализации подобное перенять.

Тестирование софта, проведенное специалистами «Базис», ИСП РАН и лабораторией «Фобос-НТ», выявило 191 уязвимость в коде решений для виртуализации с открытым исходным кодом. Исследования прошли на инфраструктуре Центра исследований безопасности системного ПО ФСТЭК России с участием студентов МГТУ и Чувашского университета. Статический анализ показал 178 дефектов, из которых было разработано 86 исправлений, внедренных в основные ветки проектов. #it

О проверках "дроповодов" и криптообменников и не только - на tokengram.ru

Российские разработчики исправляют уязвимости в open-source компонентах для виртуализации «Базис» и ИСП РАН при поддержке «Фобос-НТ» рассказали об очередном этапе тестирования компонентов с открытым исходным кодом для продуктов виртуализации. В ходе работы обнаружен и устранен 191 дефект с последующими устранениями в основных ветках разработки решений вендора. Специалисты рассмотрели такие компоненты, как nginx, ActiveMQ Artemis, Apache Directory и QEMU. Особое внимание уделили libvirt-exporter – сбой в работе библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации, поэтому ее подвергли комплексному исследованию. При помощи статистического анализа было выявлено 178 дефектов и внесено 86 исправлений. Оставшиеся 13 ошибок обнаружили при помощи фаззинг-тестирования. Для проведения работ по фаззингу были привлечены студенты профильных специальностей МГТУ им. Н.Э. Баумана и Чувашского государственный университет. Применение элементов открытого кода – распространенная практика в области виртуализации. Тем не менее, отсутствие исследований несет риски для потенциальных клиентов. Сегодня без проведения тестирования невозможны современная безопасная разработка решений и дальнейшая сертификация ФСТЭК. Отсюда следует, что выделение человеческих ресурсов на анализ открытого кода становится не роскошью, а осознанной необходимостью, и множеству вендоров еще предстоит эту практику перенять.

Cпециалисты компания «Базис», совместно с сотрудниками Института системного программирования ИСП РАН и испытательной лаборатории «Фобос-НТ», провели тестирование компонентов с открытым исходным кодом, задействованных в программных продуктах «Базиса» для виртуализации В ходе испытаний проверке подверглись такие компоненты с открытым исходным кодом как веб-сервер nginx, брокер сообщений ActiveMQ Artemis, сервер каталогов Apache Directory, библиотека для сбора данных телеметрии виртуальных машин libvirt-exporter, эмулятор аппаратного обеспечения QEMU В результате был устранен 191 дефект, в том числе несколько уязвимостей Изучив их, специалисты ИСП РАН и «Базис» разработали 86 исправлений, которые были приняты в основные ветки разработки соответствующих проектов Остальные баги в процессе устранения Подписаться

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга. Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt. Всего выявили 191 дефект: 178 нашли SAST-ом больше всего в ActiveMQ Artemis и Apache Directory 13 нашли фазингом в Apache Directory LDAP API и libvirt Исправления интегрировали в основные ветки проектов. Инициатива классная. Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. #СПО #FSTEC #ФСТЭК #ИСПРАН