Jump to content
Zandatsu

Сертификация ФСБ и ФСТЭК для продуктов ЛК [В процессе]

Recommended Posts

Quote

Не совсем понимаю, они вообще будут? 

Внеочередные фиксы выпускаются для исправления уязвимостей, которые оценены как опасные и эксплуатируемые в наших продуктах.

Как вы знаете, уязвимости в библиотеках openssl и др. появляются десятками, но в основном требуют некоторых специфических условий или затрагивают функционал, который не используются в наших продуктах. Такие уязвимости могут не исправляться. Если вас интересует анализ применимости определённых, обнаруженных вами, можете обратиться в тех. поддержку.

Про перечисленные даже на глаз видно:

 "a malicious server can send a very large prime value to the client. " Если у вас в сети вредоносный сервер вместо обычного, то эта уязвимость будет последней в вашем списке приоритетов.

"Due to the low severity of this issue we are not issuing a new release of OpenSSL 1.1.0 or 1.0.2 at this time." - низкоприоритетная уязвимость, срабатывающая в момент генерации ключей, которые делает администратор при установке продукта. И не на агенте а на сервере.

 

Share this post


Link to post
36 минут назад, OlegAndr сказал:

Внеочередные фиксы выпускаются для исправления уязвимостей, которые оценены как опасные и эксплуатируемые в наших продуктах.

Как вы знаете, уязвимости в библиотеках openssl и др. появляются десятками, но в основном требуют некоторых специфических условий или затрагивают функционал, который не используются в наших продуктах. Такие уязвимости могут не исправляться. Если вас интересует анализ применимости определённых, обнаруженных вами, можете обратиться в тех. поддержку.

Про перечисленные даже на глаз видно:

 "a malicious server can send a very large prime value to the client. " Если у вас в сети вредоносный сервер вместо обычного, то эта уязвимость будет последней в вашем списке приоритетов.

"Due to the low severity of this issue we are not issuing a new release of OpenSSL 1.1.0 or 1.0.2 at this time." - низкоприоритетная уязвимость, срабатывающая в момент генерации ключей, которые делает администратор при установке продукта. И не на агенте а на сервере.

 

Добрый день!
А ЛК что-нибудь думает касательно того чтобы делать "досертификацию" больших патчей (типа MR/SP) к аттестованным продуктам чтобы те бедолаги (вроде нас) не были прибиты на годы к одной версии, а могли её хотя бы немного обновлять? Или это долго/дорого/нельзя?

Share this post


Link to post
1 час назад, Zandatsu сказал:

Добрый день!
А ЛК что-нибудь думает касательно того чтобы делать "досертификацию" больших патчей (типа MR/SP) к аттестованным продуктам чтобы те бедолаги (вроде нас) не были прибиты на годы к одной версии, а могли её хотя бы немного обновлять? Или это долго/дорого/нельзя?

Долго/дорого, но делается

https://media.kaspersky.com/ru/about/certificates/gos/fstek-ksc-3155-2017.jpg

https://media.kaspersky.com/ru/about/certificates/gos/ФСТЭК №3155_KSC 10 (renewed 2018).pdf

https://media.kaspersky.com/ru/about/certificates/gos/FSTEK 3155_KSC10_aug2018.pdf

Это на KSC, если память не изменяет каждый раз версия немного новее (с патчами)

https://media.kaspersky.com/ru/images/cert_ru_20.jpg

https://media.kaspersky.com/ru/documents/certificate-KESW10-SP2.pdf

Тоже самое на KES10W, есть наверняка ещё - искать лень...

 

У конкурентов с этим гораздо туже обстоит, там реально за 2-3 года не одного патча

Share this post


Link to post

Подскажите, а планируется ли продление сертификата ФСТЭК № 3025 на версию KES 10.3.0.6294? Или к этому времени надо будет осуществить переход на KES 11?

Share this post


Link to post
В 04.02.2019 в 13:23, OlegAndr сказал:

Внеочередные фиксы выпускаются для исправления уязвимостей, которые оценены как опасные и эксплуатируемые в наших продуктах.

Как вы знаете, уязвимости в библиотеках openssl и др. появляются десятками, но в основном требуют некоторых специфических условий или затрагивают функционал, который не используются в наших продуктах. Такие уязвимости могут не исправляться. Если вас интересует анализ применимости определённых, обнаруженных вами, можете обратиться в тех. поддержку.

Про перечисленные даже на глаз видно:

 "a malicious server can send a very large prime value to the client. " Если у вас в сети вредоносный сервер вместо обычного, то эта уязвимость будет последней в вашем списке приоритетов.

"Due to the low severity of this issue we are not issuing a new release of OpenSSL 1.1.0 or 1.0.2 at this time." - низкоприоритетная уязвимость, срабатывающая в момент генерации ключей, которые делает администратор при установке продукта. И не на агенте а на сервере. 

 

Так, а уязвимый компонент с функцией бекдора, например, разве  не будет являться недекларированной возможностью? И тогда есть вопрос по сертификации.

Share this post


Link to post
On 2/1/2019 at 9:39 PM, Zandatsu said:

Если всё так, то мне интересно были ли в прошлом случаи выпуска таких патчей? Я не помню ни одного, возможно пропустил.

Отдельно патчи крайне редко, как правило вместе с очередной сборкой.

Quote

А ЛК что-нибудь думает касательно того чтобы делать "досертификацию" больших патчей (типа MR/SP)

MR/SP конечно делаются по необходимости но не отдельными msp или патчами а как правило сборками с интегрированными патчами.

Quote

Подскажите, а планируется ли продление сертификата ФСТЭК № 3025 на версию KES 10.3.0.6294? 

Как раз проходит сейчас инспекционный контроль KES10 SP2 MR3.

Share this post


Link to post
Quote

Так, а уязвимый компонент с функцией бекдора, например, разве  не будет являться недекларированной возможностью? И тогда есть вопрос по сертификации.

При обнаружении в продукте уязвимости незамедлительно следует связаться с технической поддержкой и\или группой работы с уязвимостями. Уязвимость будет оценена, разработаны меры по её устранению, и т.д. - всё как требует положение ФСТЭК.

Share this post


Link to post
36 минут назад, OlegAndr сказал:

MR/SP конечно делаются по необходимости но не отдельными msp или патчами а как правило сборками с интегрированными патчами.

Тогда сразу два вопроса:
1. Будет ли сертифицироваться KES 11.0.1.90? Если да, то какие сроки? Снова год? 
2. Если сертифицироваться будет сборка с патчами, то означает ли это, что придётся покупать медиапак с KES 11.0.1.90?

Share this post


Link to post
  1. 11.1 пока не планируется к сертификации.
  2. Если она будет сертифицироваться, это скорее всего будет в рамках сертификата на KES11.

Share this post


Link to post
13 часов назад, OlegAndr сказал:
  1. 11.1 пока не планируется к сертификации.
  2. Если она будет сертифицироваться, это скорее всего будет в рамках сертификата на KES11.

1. Если она будет сертифицироваться - вы можете сделать рассылку об этом?
2. То есть можно будет скачать дистрибутив 11.1 с https://certifiedbuilds.kaspersky.ru/ или придётся всё же покупать медиапак повторно?

Share this post


Link to post
16 часов назад, OlegAndr сказал:

При обнаружении в продукте уязвимости незамедлительно следует связаться с технической поддержкой и\или группой работы с уязвимостями. Уязвимость будет оценена, разработаны меры по её устранению, и т.д. - всё как требует положение ФСТЭК.

Спасибо, с этой уязвимостью вопрос решен, я использовал нет агент 10.3.407.0 думая что это последняя сертифицированная версия, а оказывается такая уже: 10.5.1781 и в ней этой уязвимости уже нет.

Share this post


Link to post

Уточните пожалуйста: эта тема будет переезжать в комьюнити, или останется здесь?

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.