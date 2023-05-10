Бюллетени безопасности

13.04.2023 — CVE‑2023‑0286 — OpenSSL Security Advisory 7th February 2023

Проект OpenSSL выпустил патч для закрытия ряда уязвимостей, в том числе критичной CVE‑2023‑0286. Мы собрали и внедрили актуальные версии OpenSSL в используемые образы. Пользователям, использующим прошлые версии ОС из Yandex Cloud Marketplace с установленным OpenSSL версий 1.0.2, 1.1.1 и 3.0.0, рекомендуется самостоятельное обновление OpenSSL. Подробнее →

13.04.2023 — CVE‑2023‑26463 — StrongSwan IPsec — Incorrectly Accepted Untrusted Public Key With Incorrect Refcount

Злоумышленник может вызвать сбой сегментации, отправив самоподписанный (или по другим причинам ненадёжный) сертификат на сервер, который аутентифицирует клиентов с помощью метода EAP на основе TLS, такого как EAP‑TLS. Клиенты могут быть также уязвимы для злоумышленников, которые отправляют им запрос на такой метод EAP с ненадёжным сертификатом сервера. Затронуты версии strongSwan 5.9.8 и 5.9.9. Образ StrongSwan IPsec в Yandex Cloud Marketplace не подвержен данной уязвимости согласно https://ubuntu.com/security/CVE-2023-26463 . Если вы используете собственный образ на ВМ, который подвержен уязвимости, то рекомендуется обновить его самостоятельно. Подробнее →

Публикации в блогах

OpenSearch — поисковая и аналитическая система с открытым исходным кодом в облаке

Рассказываем про OpenSearch — систему с открытым исходным кодом. С её помощью вы можете хранить и анализировать логи, организовывать поиск по сайту и визуализировать полученную информацию. Читать →

Дайджест новостей безопасности

Менеджер продуктов безопасности Yandex Cloud Рами Мулейс делится новостями индустрии. Читать →

Четыре основных продукта для обучения ML‑специалистов

Узнали, какие сервисы и курсы используют вузы и EdTech‑проекты для подготовки специалистов по машинному обучению. Читать →

Как найти уязвимости и не сломать CI/CD‑пайплайн

Рассказываем про угрозы безопасности и поиск уязвимостей в контейнерных приложениях на примере сканера уязвимостей и сторонних инструментов в Yandex Cloud. Читать →

Создание интерактивного приложения с использованием Yandex API Gateway и протокола WebSocket

Антон Черноусов, Developer advocate в Yandex Cloud, рассказал об использовании сервиса Yandex API Gateway и технологии WebSocket для работы асинхронных веб‑приложений. Читать →

К чему приводит природное явление Эль‑Ниньо и как инструменты Yandex Cloud помогают его предсказывать

Инженер‑исследователь и выпускник ШАДа Никита Гущин рассказывает, зачем предсказывать Эль‑Ниньо и почему даже нейросеть пока не помогает заглянуть дальше полутора лет. Читать →

Yandex Lockbox — сервис, который безопасно хранит ваши секреты

Рассказываем, что такое секреты, и сравниваем сервисы для их централизованного хранения на примере Yandex Lockbox и HashiCorp Vault в Yandex Cloud. Читать →

Что нужно, чтобы расти в команде поддержки

Как найти свой путь в саппорте и за его пределами — рассказывает Михаил Дымсков, тимлид группы инженеров технической поддержки. Читать →

Как собрать статистику Telegram‑чатов с помощью Yandex Functions

Сергей Платонов, энтузиаст и активный участник комьюнити Yandex DataLens, рассказывает, как за несколько шагов собрать статистику Telegram‑чатов с помощью сервиса Yandex Cloud Functions и визуализировать эти данные в Yandex DataLens. Читать →

Истории успеха компаний

Единый инструмент управления проектами: как YCLIENTS использует Yandex Tracker

Чтобы управлять внутренними проектами, компания YCLIENTS использует Yandex Tracker. Сюда YCLIENTS самостоятельно мигрировала — за одну рабочую неделю компания перенесла в Tracker 26 очередей, более 40 тысяч задач, порядка 20 ГБ файлов и около 100 тысяч комментариев к задачам. Теперь YCLIENTS использует Tracker не только для стандартного планирования работы, распределения задач между сотрудниками, отслеживания статуса и сроков выполнения, но и для работы с инцидентами. Читать →

Аттестация по 152‑ФЗ: опыт Skillaz

Skillaz — один из лидеров российского рынка HR Tech и разработчик интеллектуальной платформы для автоматизации управления персоналом. Компания хранит и обрабатывает большой объём персональных данных. Решение Skillaz практически с начала проекта было развёртнуто на платформе Yandex Cloud. Для того чтобы клиенты могли хранить более чувствительную информацию, такую как медицинские карты, Skillaz приняли решение пройти аттестацию на уровень защищённости УЗ‑2. Рассказываем, как происходил аудит процессов и получение аттестата соответствия. Читать →

Как финтех получил соответствие PCI DSS в облаке: опыт Talkbank

TalkBank — первый в мире виртуальный банк в мессенджерах — построил на платформе Yandex Cloud IT‑инфраструктуру, которая учитывает требования российских и международных стандартов безопасности, а также легко масштабируется при высоких нагрузках. В 2022 году после успешной миграции в Yandex Cloud TalkBank эффективно подготовился и получил сертификат соответствия требованиям PCI DSS. Читать →

Мероприятия

Сценарии сбора, хранения и анализа аудитных логов облачных сервисов

На вебинаре архитектор группы Security & Compliance Андрей Лаврецкий поделился готовыми комбинациями инфраструктурных компонентов и сервисов. Они подойдут для сценариев работы с данными сервиса Audit Trails в Yandex Cloud.