一周网安动态
Weekly Network Security
2023-04-17 周一
20230410-20230416
LEISHI
# 内容预览 #
政策法规
1、信安标委下达3项网络安全推荐性国家标准计划
2、国家标准《信息安全技术 信息安全控制》征求意见稿发布
3、ChatGPT法规来了!国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
4、信安标委发布《信息安全技术 公钥基础设施 在线证书状态协议》(征求意见稿)
5、中央网信办等五部门印发《2023年数字乡村发展工作要点》
安全事件
1、中国网络安全产业联盟发布《美国情报机构网络攻击的历史回顾》
2、湖南网安适用《数据安全法》对多个单位作出行政处罚
3、严厉处罚!腾讯定性微信QQ故障为一级事故
4、Open AI发布人工智能安全路径报告
5、肯德基、必胜客母公司披露数据泄露事件,300家快餐厅被迫关闭
6、iPhone 8及以上请注意,苹果已发布零日漏洞更新
7、三星员工通过使用ChatGPT无意中泄露了公司机密数据
8、沃尔沃零售商客户信息遭泄露,涉及大量敏感文件
9、微软发布了97个漏洞的补丁
漏洞情报
1、Apache Linkis 文件上传漏洞
2、微软2023年4月补丁日多产品安全漏洞风险通告
3、【已复现】vm2 远程代码执行漏洞安全风险通告
4、【已复现】瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告第二次更新
5、【已复现】Artifex Ghostscript 代码执行漏洞安全风险通告
6、【已复现】Apache Solr 代码执行漏洞安全风险通告
# 政策法规 #
01
信安标委下达3项网络安
全推荐性国家标准计划
近日,国家标准化管理委员会下达的推荐性国家标准计划中,包括3项由全国信息安全标准化技术委员会归口的标准项目。
消息来源:
02
国家标准《信息安全技术 信息
安全控制》征求意见稿发布
本文件适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。此外,本文件旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除本文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。
消息来源:
https://www.freebuf.com/news/363184.html
03
ChatGPT法规来了!国家网信办发布《生
成式人工智能服务管理办法(征求意见稿)》
为促进生成式人工智能技术健康发展和规范应用,4月11日,国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》(以下简称《管理办法》)。《管理办法》共计二十一条,其中“生成式人工智能”指的是,基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。
消息来源:
04
信安标委发布《信息安全技术 公钥基础
设施 在线证书状态协议》(征求意见稿)
近日,全国信息安全标准化技术委员会发布了《信息安全技术 公钥基础设施 在线证书状态协议》(征求意见稿)(以下简称《在线证书状态协议》)。《在线证书状态协议》按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草,代替GB/T 19713—2005《信息技术 安全技术 公钥基础设施在线证书状态协议》。
《在线证书状态协议》规定了面向公钥基础设施的在线证书状态协议(OCSP),此协议是一种无需请求证书撤销列表(CRL)即可查询数字证书状态的协议,包括总则、功能要求、具体协议等,适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。
消息来源:
https://www.freebuf.com/news/363189.html
05
中央网信办等五部门印发《20
23年数字乡村发展工作要点》
《工作要点》明确了工作目标:到2023年底,数字乡村发展取得阶段性进展。数字技术为保障国家粮食安全和巩固拓展脱贫攻坚成果提供更加有力支撑。农村宽带接入用户数超过1.9亿,5G网络基本实现乡镇级以上区域和有条件的行政村覆盖,农业生产信息化率达到26.5%,农产品电商网络零售额突破5800亿元,全国具备条件的新型农业经营主体建档评级基本全覆盖。乡村治理数字化水平稳步提高,乡村数字普惠服务不断深化,农民数字素养与技能持续提升,数字乡村试点成效更加凸显。此外,《工作要点》部署了10个方面26项重点任务。
消息来源:
https://www.secrss.com/articles/53691
# 安全事件 #
01
中国网络安全产业联盟发布《美国
情报机构网络攻击的历史回顾》
为系统梳理美情报机构对全球各国开展的网络攻击活动,中国网络安全产业联盟(CCIA)组织编制了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》(中英文版)(以下简称《报告》)。
《报告》立足网络安全专业视角,基于全球数十家网络安全企业、研究机构及专家学者的近千份研究文献,充分整合各方分析过程及研究成果,揭露其网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。
消息来源:
https://www.secrss.com/articles/53601
02
湖南网安适用《数据安全法》
对多个单位作出行政处罚
2023年2月,湖南省长沙市公安局岳麓分局网安部门工作发现,辖区某电商平台存在数据泄露隐患,迅速组织专业技术人员调取日志并约谈单位相关责任人员。
消息来源:
03
严厉处罚!腾讯定性
微信QQ故障为一级事故
3月29日凌晨,腾讯旗下的微信和QQ等业务曾出现崩溃状况,包括微信语音对话、朋友圈、微信支付,以及QQ文件传输、QQ空间和QQ邮箱在内的多个功能无法使用。虽然该故障在当天稍晚时候就被修复,且微信此前也出现过几次大小故障,但腾讯仍然对本次事故开出了堪称严厉的处罚单。
据界面新闻了解,本次事故由广州电信机房冷却系统故障导致,腾讯将它定义为公司一级事故。腾讯管理层认为,这次事故暴露出容灾设计方案和应急预案不完善的隐患,有关业务部门的风险防范意识不到位,所以对大量相关领导做出了处罚。
消息来源:
https://www.freebuf.com/news/363135.html
04
Open AI发布人工
智能安全路径报告
2023年4月5日,Open AI在其官网上发布了《我们迈向人工智能安全的路径》(Our approach to AI safety) 一文,对包括ChatGPT在内的AI产品安全问题进行回应。其报告内容主要分为六大角度:1. 围绕安全、不断升级;2.立足现实、完善保障;3.保护儿童;4.尊重隐私;5.精准产出、尊重事实;6.持续投入、促进合作。
消息来源:
https://www.secrss.com/articles/53527
05
肯德基、必胜客母公司披露数据
泄露事件,300家快餐厅被迫关闭
百胜餐饮集团(Yum! 百胜餐饮集团是肯德基、必胜客和Taco Bell快餐连锁店品牌的母公司)目前正向在1月13日勒索软件攻击中受影响的客户发送数据泄露通知函。集团透露,目前已经发现用户数据被攻击者泄露,其中包括用户的姓名、驾驶执照号码和身份证号码,但是正在进行的调查没有发现被盗数据被用于欺诈的证据。
作为1月勒索软件攻击事件后的直接结果,百胜餐饮集团被迫关闭了约300家餐厅。不仅如此,后续的损失也在增加,包括应对、补救和调查此事的费用。但在一月份提交给美国证券交易委员会的文件中,百胜餐饮集团向投资者保证,勒索赎金的问题已经解决,勒索软件攻击不会造成任何明显的负面财务影响。
消息来源:
https://www.freebuf.com/news/363204.html
06
iPhone 8及以上请注意,
苹果已发布零日漏洞更新
苹果公司上周五发布了iOS、iPadOS、macOS和Safari网络浏览器的安全更新,以解决在野外被利用的零日漏洞。
消息来源:
https://thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html
07
三星员工通过使用ChatGPT
无意中泄露了公司机密数据
三星员工与流行的聊天机器人服务ChatGPT共享内部文档,包括会议记录和源代码。
消息来源:
https://securityaffairs.com/144597/security/samsung-data-leak-chatgpt.html
08
沃尔沃零售商客户信息遭
泄露,涉及大量敏感文件
巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件,这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。这些信息不仅包括数据库的认证信息,还包括MySQL和Redis数据库主机、开放端口和证书信息等。不仅如此,研究人员还偶然发现了该网站的Laravel应用程序密钥。
美国数字安全调查媒体的相关人员联系了Dimas Volvo和负责沃尔沃总部数据保护的相关官员,了解到目前这个信息泄漏的问题已经得到了妥善的解决。
消息来源:
https://www.freebuf.com/news/363499.html
09
微软发布了97个漏洞的补丁
97 个 bug 中有 90 个被评为“严重”,45 个 bug 的严重性评级为“重要”。
消息来源:
https://thehackernews.com/2023/04/urgent-microsoft-issues-patches-for-97.html
# 漏洞情报 #
01
Apache Linkis 文件上传漏洞
Apache Linkis(Incubating)是一个开源的上层应用与底层引擎之间的计算中间件,提供了强大的连接、复用、编排、扩展和处理能力。
2023年4月11日,Apache发布安全公告,修复了Apache Linkis PublicService模块中的安全漏洞,PublicService模块上传文件时,对上传文件的路径以及文件类型缺乏限制,可能导致任意文件上传。漏洞编号CVE-2023-27602,漏洞危害等级:高危。
消息来源:
https://loudongyun.360.net/leakDetail/Ipkgg649jO8%3D
02
微软2023年4月补丁日多
产品安全漏洞风险通告
消息来源:
03
【已复现】vm2 远程代码
执行漏洞安全风险通告
近日,奇安信CERT监测到vm2远程代码执行漏洞(CVE-2023-29017),由于vm2处理异步错误时未正确处理Error.prepareStackTrace的宿主对象,导致攻击者可以绕过沙箱保护,在运行沙箱的主机上远程执行任意代码。值得注意的是,经测试,在Node.js <= 16.14.0、Node.js <= 17.4.0以及Node.js 16.xx以下的所有版本不受此漏洞影响。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
04
【已复现】瑞友天翼应用虚拟化系统远程
代码执行漏洞安全风险通告第二次更新
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。
近日,奇安信CERT监测到瑞友天翼应用虚拟化系统远程代码执行漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码。鉴于该漏洞影响范围较大,建议客户尽快升级到安全版本。
消息来源:
05
【已复现】Artifex Ghostscript
代码执行漏洞安全风险通告
近日,奇安信CERT监测到 Artifex Ghostscript 代码执行漏洞(CVE-2023-28879),Ghostscript 存在越界写入漏洞,s_xBCPE_process 函数在转义时,如果最后一个字符需要转义,则会写入两个字节,导致越界写入了一个字节。成功利用该漏洞能够在目标系统上执行任意代码。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
06
【已复现】Apache Solr
代码执行漏洞安全风险通告
近日,奇安信CERT监测到 Apache Solr 代码执行漏洞,Apache Solr 默认配置下存在服务端请求伪造漏洞,当Solr以cloud模式启动且可出网时,远程攻击者可利用此漏洞在目标系统上执行任意代码。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews、奇安信CERT、
360漏洞云