Специалисты компании Базис, ИСП РАН и испытательной лаборатории Фобос-НТ завершили новый этап тестирования компонентов с открытым исходным кодом, используемых в инструментах виртуализации. В результате работы было выявлено и устранено 191 дефект в коде, включая уязвимости в популярных компонентах, таких как nginx, ActiveMQ Artemis, Apache Directory, libvirt и QEMU.

Очередной этап тестирования и исследования кода проходил на инфраструктуре Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Работы по разметке и созданию целей для фаззинга выполнялись совместно с ИСП РАН, к решению этой задачи было привлечено молодое поколение – студенты профильных специальностей МГТУ им. Н. Э Баумана и Чебоксарского ГУ.

Основное внимание было уделено библиотеке libvirt, критичной для виртуальных инфраструктур, где были выявлены ошибки, связанные с переполнением буфера и обработкой инструкций. Тестирование проводилось с использованием различных методов, включая статический анализ и фаззинг. В рамках подготовки к тестированию для наиболее критичных компонентов открытого ПО, лежащих на поверхности атаки, были разработаны фаззинг-тесты. Их можно найти в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО. Все найденные дефекты были оперативно исправлены и интегрированы в основные ветки разработки.

С подробной информацией и комментариями экспертов можно ознакомиться в пресс-релизе Базис, а также Российской Газете, CNews  и Server News.