"eParakstītājā" novērstas būtiskas nepilnības
Pilnveidojot programmatūru "eParakstītājs", kā arī "Java" bibliotēku lietotni, novērstas būtiskas nepilnības to darbībā, tāpēc visi eParaksta lietotāji tiek aicināti nekavējoties veikt drošības atjauninājumus programmatūrā "eParakstītājs 3.0", aģentūru LETA informē pakalpojumu sniedzējs VAS "Latvijas Valsts radio un televīzijas centrs" (LVRTC).
Kā informē centra pārstāvji, programmatūras "eParakstītājs 3.0" versijas atjauninājums lietotājiem tiek piedāvāts automātiski, atverot programmatūru. Programmatūras jaunākā versija lejupielādei pieejama arī vietnē "eparaksts.lv/lv/palidziba/lejupielades/eparakstitajs-3".
Aktīvajiem eParaksta lietotājiem LVRTC ir izsūtījis aicinājumu nekavējoties veikt programmatūras atjauninājumu. Tāpat arī organizāciju un iestāžu, kurām ir noslēgts līgums par eParaksta izmantošanu, atbildīgie speciālisti ir informēti par nepieciešamību veikt atjauninājumu, tāpēc iestāžu darbiniekiem patstāvīgi nav jāveic atjauninājums savās darba stacijās.
Savukārt tiem eParaksta lietotājiem, kuri darba vietās lieto eParakstu un kuriem uzņēmuma politika liedz patstāvīgi veikt atjauninājumu, atverot programmatūru "eParakstītājs", automātisks uzaicinājums veikt atjauninājumu var neparādīties un atjauninājuma veikšanai visbiežāk būs nepieciešams uzņēmuma IT administratora atbalsts.
LVRTC pārstāvji norāda, ka konstatētā nepilnība neapdraudēja parakstītā dokumenta nemainīgumu un integritāti un neapdraudēja pašu parakstīšanas procesu kā tādu, tomēr uzbrukumus eParaksta lietotājiem, izmantojot nepilnību, būtu iespējams veikt, nosūtot vai augšupielādējot specifiski veidotu ".edoc" formāta failu.
"Dažādās informācijas sistēmās ik pa laikam tiek atklātas dažādas nepilnības. Konkrētajā gadījumā ir atklāta ievainojamība eParaksta risinājumu nodrošinošajā programmatūrā, kura tiek izmantota gan kā bibliotēka, kas tiek integrēta informācijas sistēmās, gan lietotne, ko iedzīvotāji izmanto uz saviem datoriem," informē LVRTC Mārketinga daļas vadītāja Vineta Sprugaine. "LVRTC sadarbībā ar informācijas tehnoloģiju drošības incidentu novēršanas institūciju "Cert.lv" konstatēto nepilnību ir novērsis un aicina visus eParaksta lietotājus nekavējoties veikt programmatūras "eParakstītājs" atjaunināšanu, savukārt eParaksta integrācijas risinājumu lietotājus - atjaunināt "Java" bibliotēku versiju."
"Veids, kā ievainojamība tika novērsta, ir viens no tā sauktajiem atbildīgas ievainojamību atklāšanas piemēriem, kad IKT drošības nozares speciālisti, atklājot potenciālu ievainojamību kādā programmproduktā, informē par to tā īpašnieku, kā arī sadarbojas ar produkta turētājiem ievainojamības novēršanā un sabiedrības informēšanā," piebilda "Cert.lv" vadītājas vietnieks. "Pasaulē šī ir ierasta prakse, kas sociāli atbildīgā veidā ļauj uzlabot programmatūras, informācijas sistēmu un IKT infrastruktūru drošību."
Programmatūras nepilnību atklāja IT drošības speciālists Oskars Veģeris sadarbībā ar SIA "Biti", veicot informācijas sistēmas drošības auditu SIA "Biti" klientam. Par atklāto nepilnību tika informēts "Cert.lv" un LVRTC.
Iesaistīto pušu rīcībā nav informācijas par gadījumiem, kad kāds ļaunprātīgi būtu izmantojis šo ievainojamību.
Uz sarakstu
