ФСТЭК начала отзывать сертификаты за неисправленные уязвимости
01.03.2018
Федеральная служба по техническому и экспортному контролю (ФСТЭК) начала аннулировать сертификаты соответствия для разработчиков ПО за наличие в их продуктах неисправленных уязвимостей.
Как следует из сообщения службы, ФСТЭК приняла решение аннулировать сертификаты соответствия, выданные АО "РНТ" на операционную систему для межсетевых экранов PAN-OS 4.0, используемую для защиты информации ограниченного доступа в государственных информационных системах. Сертификаты аннулированы для PAN-OS 4.0 серий РА-4000, РА-5000, РА-500 и РА-2000.
Причиной отзыва сертфикатов названо выявление в ОС уязвимостей, для которых компания-разработчик Palo Alto Networks Inc. не выпустила соответствующие исправления.
"Выявленные уязвимости включены в базу уязвимостей Банка данных угроз безопасности информации ФСТЭК России […] им присвоен критический уровень опасности, идентификаторы уязвимостей BDU:2017-02120 и BDU:2017-02237", - следует из заявления службы.
Ведомство порекомендовало пользователям прекратить использование PAN-OS 4.0 и перейти на аналогичные защитные решения, сертифицированные на соответствие "Требованиям к межсетевым экранам", утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9.
Банк данных угроз ФСТЭК содержит информацию, что перечисленные выше уязвимости имеют исправление от производителя, но по требованиям ФСТЭК всем новым версиям с исправлениями также требуется пройти сертификацию.
