Программное обеспечение WNAM поставляется в виде:

  • дистрибутива в формате WAR-архива
  • в составе оффлайн-инсталлятора для установки всех необходимых компонентов системы, включая дистрибутив WNAM, на работающий без доступа к сети Интернет Linux-сервер
  • в составе образа виртуальной машины на основе ОС Astra Linux 1.7.5 со всеми предустановленными компонентами и зависимостями, различными СУБД, в OFV/VMDK и QCOW2 форматах
  • в составе программно-аппаратного комплекса, состоящего их x86_64 сервера с требуемыми характеристиками, операционной системы со всеми предустановленными компонентами и зависимостями, и заданной СУБД

Номер версии ПО формируется из трех компонентов:

Номер_поколения.мажорный_релиз.номер_сборки

Для текущей выпускаемой мажорной версии, WNAM 1.6, номер поколения равен 1, номер мажорного релиза 6. Номер сборки автоматически увеличивается каждый раз при компиляции и упаковке дистрибутива перед его публикацией в тестовом и стабильном репозиториях. Номер версии ПО, а также признак поддержки СУБД PostgresSQL/PostgresPro (-PG) отображается в последней строке каждого окна административного интерфейса системы WNAM. Кроме того, дата сборки отображается в окне «Конфигурация-Лицензии»

В ходе работ по развитию системы WNAM номер мажорного релиза меняется очень редко. В первые годы выпуска WNAM это происходило в среднем раз в 1.5 года; последний релиз 6 (1.6) был впервые опубликован в 2020 году. Выпуск релиза 7 (1.7) не предполагается. В 2024 году будет выпущен релиз следующего поколения 2 (2.0), основанный на новой кодовой базе ПО. Это будет переработанный с нуля (но на основе наработок WNAM 1.6) и реализующий архитектурные нововведения по текущим требованиям заказчиков программный продукт.

Минорный релиз (номер сборки) выпускается так часто, как того требует роадмап разработки, с учетом применения оперативных исправлений, повышающих надежность, безопасность системы, исправляющих выявленные логические ошибки кода. Среднее количество выпуска таких сборок – от 1 до 7 в неделю. В первую очередь, они помещаются в тестовый репозиторий, а по прошествии обкатки публикуются в стабильном репозитории.

В случае обнаружения потенциальных и фактических проблем в работе ПО WNAM, получив информацию из списков рассылок, CVE бюллетеней, от компаний-партнеров или заказчиков, в результате сканирования ПО на уязвимость и т.п., команда разработки:

  1. исследует влияние сообщения об уязвимости на работу системы
  2. определяет, на сколько данное сообщение релевантно
  3. определяет необходимость внесения изменений в программный код, состав дистрибутива, состав образа и т.п.
  4. проводит необходимые работы по исправлению, либо минимизации действия обнаруженной уязвимости
  5. проводит срочный выпуск минорной сборки ПО WNAM, её испытания на стендах
  6. информирует заказчиков, клиентов и партнеров о выпуске новой версии ПО с исправленной уязвимостью. Способами информирования являются: сайт www.netams.com; канал в мессенджере Telegram: @wnam_news.
  7. вносит запись в публикуемый здесь бюллетень обнаружения и устранения уязвимостей


Дата

Уязвимость

Описание решения

Версия ПО с исправлением

Ноябрь 2021

Log4j

Потенциальная возможность исполнения вредоносного кода на сервере, использующего библиотеку логгирования log4j, при наличии доступа к серверу из сети Интернет.

CVE-2021-44228

Временное решение: закрыть доступ к серверу из сети Internet.

Постоянное решение: установить обновление WNAM с обновленной библиотекой log4j версии 2.15

1.6.2804

1.5.1885

Март 2023

Потенциальная возможность проведения атак типа «отказ в обслуживании» для устаревших версий ПО nginx

Временное решение: закрыть доступ к серверу из сети Internet.

Постоянное решение: установить на сервер пакет nginx в составе операционной системы, либо скомпилированный самостоятельно, с версий старше 1.20

Уязвимость не имеет прямого отношения к ПО WNAM, т.к. находится на уровне системного ПО

-







  • No labels