Техническая поддержка
Компания Identity Blitz оказывает услуги по обеспечению технической поддержки программного обеспечения Blitz Identity Provider.
Техническая поддержка оказывается:
- новым клиентам, купившим лицензию ПО Blitz Identity Provider – согласно сроку технической поддержки, прописанному в договоре.
- существующим клиентам, которые приобрели сертификат на оказание услуги технической поддержки или заключили договор на оказание услуги технической поддержки – в течение срока, указанного в сертификате/договоре.
Более подробную информацию по условиям технической поддержки можно узнать на специальной странице.
Отчеты об уязвимости
В сфере информационной безопасности уязвимости являются слабыми местами или дефектами, которые могут быть эксплуатированы злоумышленниками для нарушения функционирования продукта, получения несанкционированного доступа или кражи персональных данных.
Мы придаем особое значение обнаружению и устранению потенциальных уязвимостей в ПО Blitz Identity Provider, чтобы обеспечить максимальную защиту наших клиентов и предотвратить возможные риски. Если вы обнаружите уязвимость в нашем продукте, мы настоятельно просим вас немедленно сообщить нам об этом.
Технические специалисты компании Identity Blitz уделяют внимание каждому сообщению о потенциальной уязвимости и предпринимают необходимые шаги для ее быстрого и эффективного устранения. Ваше сотрудничество имеет неоценимое значение для нас и помогает нам улучшать наш продукт.
Информация от июня 2026 г.
Описание
В ходе проведения работ по анализу защищенности ПО Blitz Identity Provider были обнаружены следующие уязвимости:
- отраженная XSS из cookie в ошибках, позволяющая злоумышленнику выполнить произвольный JavaScript-код в браузере пользователя на странице с ошибкой (идентификатор: BDU:2026-07464);
- уязвимость CSRF в процессе подтверждения OAuth-разрешений, что позволяет злоумышленнику не запрашивать у пользователя согласие на доступ к данным (идентификатор: BDU:2026-07465).
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.33.5.
Исправленные версии
Blitz Identity Provider версия 5.33.6 и позднее.
Blitz Identity Provider версия 5.31.7.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Если версия ПО меньше 5.33.5, необходимо произвести обновление до версии 5.33.6 и позднее. Также допустимо использование Blitz Identity Provider версии 5.31.7.
Доступны следующие исправленные версии ПО Blitz Identity Provider:
Если обновление версии ПО невозможно:
- для уязвимости с отраженной XSS из cookie в ошибках рекомендуется настроить правила межсетевого экрана для отслеживания значения cookie (детальная информация будет предоставлена при обращении в техподдержку);
- для уязвимости с OAuth-разрешениями рекомендуется рассмотреть возможность перехода на автоматический режим выдачи согласий.
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от мая 2026 г.
Описание
В ходе проведения работ по анализу защищенности ПО Blitz Identity Provider была обнаружена уязвимость (отраженная межсайтовая scripting — Reflected XSS), позволяющая злоумышленнику выполнить произвольный JavaScript-код в браузере пользователя на странице выбора выбора аккаунтов (идентификатор: BDU:2026-07204).
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.33.4.
Исправленные версии
Blitz Identity Provider версия 5.33.4 и позднее.
Blitz Identity Provider версия 5.31.7.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Если версия ПО меньше 5.33.4, необходимо произвести обновление до версии 5.33.4 и позднее. Также допустимо использование Blitz Identity Provider версия 5.31.7.
Доступны следующие исправленные версии ПО Blitz Identity Provider:
Если обновление версии ПО невозможно, рекомендуется либо отключить опцию «Запоминание учетных записей», либо переключить режим запоминания учетных записей в положение «Запоминать одну учетную запись».
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от июля 2025 г.
Описание
В ходе проведения работ по анализу защищенности ПО Blitz Identity Provider была обнаружена уязвимость (идентификатор: BDU:2025-07933), позволяющая осуществить регистрацию на произвольный адрес электронной почты.
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.28.7.
Исправленные версии
Blitz Identity Provider версия 5.28.7 и позднее.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Если версия ПО меньше 5.28.7, то необходимо произвести обновление до версии 5.28.7 и позднее. Доступны следующие исправленные версии ПО Blitz Identity Provider:
- версия 5.28.7 – загрузить
Если обновление версии ПО невозможно, рекомендуем обратиться в техническую поддержку за получением инструкции по применению обходного решения.
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от июня 2025 г.
Описание
В ходе проведения работ по анализу защищенности была обнаружена уязвимость шлюза интеграции с ЕСИА ESIA-Bridge (идентификатор: BDU:2025-06789), связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю раскрыть защищаемую информацию.
Продукты, подверженные уязвимости
ESIA-Bridge до версии 2.2.3.
Исправленные версии
ESIA-Bridge версия 2.2.3 и позднее.
Рекомендация
Проверьте текущую версию установленного ПО ESIA-Bridge. Далее необходимо установить дистрибутив ESIA-Bridge версии 2.2.3 или более поздней версии:
- версия 2.3.2 – загрузить
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от марта 2025 г.
Описание
В ходе проведения работ по анализу защищенности была обнаружена уязвимость (идентификатор: BDU:2025-07726), связанная с авторизацией к REST API в ПО Blitz Identity Provider.
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.28.6.
Исправленные версии
Blitz Identity Provider версия 5.28.6 и позднее.
Подготовлены патчи под ряд предшествующих версий ПО Blitz Identity Provider.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Далее необходимо установить обновленную версию дистрибутива текущей или более поздней версии. Доступны следующие исправленные версии ПО Blitz Identity Provider:
- версия 5.28.6 – загрузить
- версия 5.23.3 – загрузить
- версия 5.22.8 – загрузить
- версия 5.11.7 – загрузить
Если обновление версии ПО невозможно, то предусмотрено обходное решение. Инструкция по применению обходного решения направлена клиентам через техническую поддержку.
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от декабря 2024 г.
Описание
В ходе проведения работ по анализу защищенности были обнаружены уязвимости (идентификаторы: BDU:2025-07760, BDU:2025-07761, BDU:2025-07762), связанные с работой с электронной почтой в «Личном кабинете» в ПО Blitz Identity Provider:
- возможность смены адреса электронной почты в аккаунте;
- отсутствие ограничений на количество попыток ввода кода подтверждения для смены почты;
- возможность отправить на привязанную к аккаунту электронную почту письмо с произвольным текстом.
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.28.0.
Исправленные версии
Blitz Identity Provider версия 5.28.0 и позднее.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Если версия ПО меньше 5.28.0, то необходимо произвести обновление до версии 5.28.0 и позднее.
Если обновление версии ПО невозможно, рекомендуем обратиться в техническую поддержку за получением инструкции по применению обходного решения.
При возникновении вопросов по установке обновления обратитесь на support@idblitz.ru.
Информация от ноября 2023 г.
Описание
Компания-разработчик ООО «РЕАК СОФТ» подтвердили наличие уязвимости (идентификатор: BDU:2023-08152) в программном продукте сервер аутентификации Blitz Identity Provider версия 5.14. Был проведен детальный анализ уязвимости и внесены необходимые изменения в ПО, которые позволили полностью устранить уязвимость в ПО Blitz Identity Provider версия 5.18.
Продукты, подверженные уязвимости
Blitz Identity Provider до версии 5.18.
Исправленные версии
Blitz Identity Provider версия 5.18 и позднее.
Рекомендация
Проверьте текущую версию установленного ПО Blitz Identity Provider. Если версия ПО меньше 5.18, то необходимо внести дополнительные настройки на веб-балансировщике сервера аутентификации или произвести обновление до версии 5.18 и позднее, согласно документации.
Если обновление версии ПО невозможно, для устранения уязвимости инженер, администрирующий ПО Blitz Identity Provider у заказчика, должен внести дополнительные настройки, которые полностью закрывают выявленную уязвимость.
Для получения инструкции по необходимым настройкам обратитесь на support@idblitz.ru.
Если вы считаете, что обнаружили уязвимость в нашем продукте, настоятельно просим вас немедленно связаться с нами по адресу vulnerability@idblitz.ru и предоставить следующую информацию:
- Контактные данные: укажите, как мы можем с вами связаться, включая предпочтительные способы общения. Это необходимо для того, чтобы наши технические специалисты могли оперативно связаться с вами для получения дополнительной информации по выявленной уязвимости.
- Версия продукта: укажите, в какой конфигурации и версии Blitz Identity Provider была обнаружена уязвимость.
- Описание уязвимости: предоставьте детальное описание уязвимости, чтобы наши технические специалисты могли точно оценить ее характер и возможные последствия.
Мы настоятельно просим вас воздержаться от публикации общедоступной информации об уязвимости до тех пор, пока наши специалисты не подтвердят ее устранение. Конфиденциальность и безопасность информационных ресурсов наших клиентов являются для нас приоритетом.
