公司新聞

【一周安全資訊1007】多項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)10月1日起實(shí)施;GitLab發(fā)布緊急安全補(bǔ)丁修復(fù)高危漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-10-07    瀏覽次數(shù):
 

要聞速覽

1.以下信息安全國(guó)家標(biāo)準(zhǔn)10月1日起實(shí)施

2.GitLab發(fā)布緊急安全補(bǔ)丁修復(fù)高危漏洞

3.主流顯卡全中招!GPU.zip側(cè)信道攻擊可泄漏敏感數(shù)據(jù)

4.MOVEit漏洞導(dǎo)致美國(guó)900所院校學(xué)生信息發(fā)生大規(guī)模泄露

5.法國(guó)太空和國(guó)防供應(yīng)商Exail遭黑客攻擊,泄露大量敏感信息

6.英國(guó)王室網(wǎng)站因DDoS攻擊而癱瘓

一周政策要聞

以下信息安全國(guó)家標(biāo)準(zhǔn)10月1日起實(shí)施

《信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù) 安全指南》

  • 實(shí)施日期:2023-10-01
  • 標(biāo)準(zhǔn)編號(hào):GB/T 42447-2023
  • 概述/要求:本文件給出了開展電信領(lǐng)域數(shù)據(jù)處理活動(dòng)的安全原則、通用安全措施,及在實(shí)施數(shù)據(jù)收集、存儲(chǔ)、使用加工、傳輸、提供、公開、銷毀等過程中宜采取的相應(yīng)安全措施。適用于指導(dǎo)電信數(shù)據(jù)處理者開展數(shù)據(jù)安全保護(hù)工作,也適用于指導(dǎo)第三方機(jī)構(gòu)開展電信數(shù)據(jù)安全評(píng)估工作。

《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》

  • 實(shí)施日期:2023-10-01
  • 標(biāo)準(zhǔn)編號(hào):GB/T 42453-2023
  • 概述/要求:本文件給出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)框架,規(guī)定了該框架中核心組件的通用技術(shù)要求本文件適用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知產(chǎn)品、系統(tǒng)或平臺(tái)等的規(guī)劃、設(shè)計(jì)、開發(fā)、建設(shè)和測(cè)評(píng)。

《信息安全技術(shù) 網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》

  • 實(shí)施日期:2023-10-01
  • 標(biāo)準(zhǔn)編號(hào):GB/T 42446-2023
  • 概述/要求:本文件確立了網(wǎng)絡(luò)安全從業(yè)人員分類,規(guī)定了各類從業(yè)人員具備的知識(shí)和技能要求。適用于各類組織對(duì)網(wǎng)絡(luò)安全從業(yè)人員的使用、培養(yǎng)、評(píng)價(jià)、管理等。

《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化效果評(píng)估指南》

《信息安全技術(shù) 公共域名服務(wù)系統(tǒng)安全要求》

《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)成本度量指南》

《信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第3部分:采用數(shù)字簽名技術(shù)的機(jī)制》

《信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第1部分:概述》

《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分:簡(jiǎn)介和一般模型》

《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全技術(shù)要求》

《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全測(cè)評(píng)方法》

《信息安全技術(shù) IPSec VPN安全接入基本要求與實(shí)施指南》

信息來源:粵密粵安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

業(yè)內(nèi)新聞速覽

GitLab發(fā)布緊急安全補(bǔ)丁修復(fù)高危漏洞

GitLab本周四緊急發(fā)布安全補(bǔ)丁,修復(fù)一個(gè)可讓攻擊者以其他用戶身份運(yùn)行管道的嚴(yán)重漏洞。

該漏洞編號(hào)為CVE-2023-5009(CVSS評(píng)分:9.6),影響從13.12到16.2.7以及從16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究員JohanCarlsson(又名joaxcar)發(fā)現(xiàn)并報(bào)告了該漏洞。

GitLab在一份公告中表示:“攻擊者有可能通過預(yù)定的安全掃描策略以任意用戶身份運(yùn)行管道。”“該漏洞是CVE-2023-3932(GitLab于2023年8月上旬修復(fù)了該漏洞)的繞過,并顯示出額外的影響?!?

通過利用CVE-2023-5009,攻擊者可以訪問敏感信息或利用冒充用戶的權(quán)限來修改源代碼或在系統(tǒng)上運(yùn)行任意代碼,從而導(dǎo)致嚴(yán)重后果。

GitLab強(qiáng)烈建議用戶盡快將已安裝的GitLab更新到最新版本,以防范潛在風(fēng)險(xiǎn)。

消息來源: Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow


主流顯卡全中招!GPU.zip側(cè)信道攻擊可泄漏敏感數(shù)據(jù)

近日,來自四所美國(guó)大學(xué)的研究人員針對(duì)主流顯卡中的一個(gè)漏洞開發(fā)了一種新的GPU側(cè)信道攻擊,當(dāng)用戶訪問惡意網(wǎng)頁(yè)時(shí),該攻擊可利用GPU數(shù)據(jù)壓縮技術(shù)從現(xiàn)代顯卡中竊取敏感的視覺數(shù)據(jù)。

研究人員已經(jīng)通過在Chrome瀏覽器上執(zhí)行跨源SVG濾鏡像素竊取攻擊,展示了這種"GPU.zip"攻擊的有效性,并2023年3月向受影響的顯卡制造商披露了這一漏洞。

然而,截至2023年9月,受影響的GPU供應(yīng)商(AMD、蘋果、ARM、英偉達(dá)、高通)或Google(Chrome)均尚未推出漏洞補(bǔ)丁。

德克薩斯大學(xué)奧斯汀分校、卡內(nèi)基梅隆大學(xué)、華盛頓大學(xué)和伊利諾伊大學(xué)厄巴納-香檳分校的研究人員在論文中對(duì)該漏洞進(jìn)行了詳細(xì)描述,并將在第45屆IEEE安全與隱私研討會(huì)上發(fā)表。

消息來源:GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA


MOVEit漏洞導(dǎo)致美國(guó)900所院校學(xué)生信息發(fā)生大規(guī)模泄露

美國(guó)非營(yíng)利教育組織NSC(國(guó)家學(xué)生信息交換所)近日披露,其MOVEit服務(wù)器遭到入侵并導(dǎo)致近900所高等院校的學(xué)生個(gè)人信息被盜。

NSC為大約3600所北美學(xué)院和大學(xué)以及2.2萬所高中提供教育報(bào)告、數(shù)據(jù)交換、驗(yàn)證和研究服務(wù)。

美國(guó)國(guó)家安全委員會(huì)已代表受影響的學(xué)校向加州總檢察長(zhǎng)辦公室提交了一份數(shù)據(jù)泄露通知信,披露攻擊者于5月30日獲得了對(duì)NSC的MOVEit托管文件傳輸(MFT)服務(wù)器的訪問權(quán)限,并竊取了包含大量個(gè)人信息的文件。

根據(jù)通知信內(nèi)容,被盜文件中包含的學(xué)生個(gè)人身份信息(PII)包括姓名、出生日期、聯(lián)系信息、社會(huì)安全號(hào)碼、學(xué)生ID號(hào)碼以及一些與學(xué)校相關(guān)的記錄(例如入學(xué)記錄、學(xué)位記錄和課程級(jí)別數(shù)據(jù))。

美國(guó)國(guó)家安全委員會(huì)還公布了受此數(shù)據(jù)泄露事件影響的教育組織名單。

消息來源:GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA


法國(guó)太空和國(guó)防供應(yīng)商Exail遭黑客攻擊,泄露大量敏感信息

Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn),法國(guó)高科技工業(yè)集團(tuán) Exail 暴露了一個(gè)帶有數(shù)據(jù)庫(kù)憑證的可公開訪問的環(huán)境 (.env) 文件。

Exail于 2022 年由 ECA Group 和 iXblue 合并后成立,專注于機(jī)器人、海事、導(dǎo)航、航空航天和光子技術(shù),其客戶包括美國(guó)海岸警衛(wèi)隊(duì)。由于這些特性,Exail成為攻擊者特別感興趣的目標(biāo)。

研究團(tuán)隊(duì)發(fā)現(xiàn),托管在 exail.com 網(wǎng)站上可公開訪問的 .env 文件已暴露在互聯(lián)網(wǎng)上,導(dǎo)致任何人都可以對(duì)其進(jìn)行訪問。環(huán)境文件充當(dāng)計(jì)算機(jī)程序的一組指令,因此,文件的完全開放可能會(huì)暴露關(guān)鍵數(shù)據(jù),一旦攻擊者訪問,便可以查看、修改或刪除敏感數(shù)據(jù)并執(zhí)行未經(jīng)授權(quán)的操作,并為攻擊者者提供一系列攻擊選項(xiàng)。

研究團(tuán)隊(duì)還發(fā)現(xiàn),Exail 的網(wǎng)絡(luò)服務(wù)器版本和特定操作系統(tǒng)也受到了威脅。如果攻擊者知道網(wǎng)絡(luò)服務(wù)器上運(yùn)行的操作系統(tǒng)及其版本,就可以針對(duì)性地利用與操作系統(tǒng)相關(guān)的特定漏洞。

而具有已知特定操作系統(tǒng)暴露的 Web 服務(wù)器可能成為自動(dòng)掃描工具、惡意軟件和僵尸網(wǎng)絡(luò)的目標(biāo)。一旦攻擊者了解了操作系統(tǒng)的特性,就可以集中精力尋找和利用與該操作系統(tǒng)相關(guān)的漏洞。他們可以采用掃描、證明或使用已知漏洞等技術(shù)來訪問服務(wù)器或損害其安全性。

此外,攻擊者還可以利用操作系統(tǒng)特定的弱點(diǎn)對(duì)暴露的 Web 服務(wù)器發(fā)起拒絕服務(wù) (DoS) 攻擊,從而中斷服務(wù)器的運(yùn)行。

Cybernews研究團(tuán)隊(duì)向Exail進(jìn)行反饋后,對(duì)方已經(jīng)修復(fù)了該問題,但并未透露有關(guān)問題更加詳細(xì)的信息。

消息來源:FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g


英國(guó)王室網(wǎng)站因DDoS攻擊而癱瘓

據(jù)報(bào)道,英國(guó)王室官方網(wǎng)站周日(10月1日)因分布式拒絕服務(wù)(DDoS)攻擊而離線。據(jù)《獨(dú)立報(bào)》報(bào)道,從當(dāng)?shù)貢r(shí)間上午10點(diǎn)開始,Royal.uk網(wǎng)站大約有90分鐘無法訪問。盡管在撰寫本文時(shí) Cloudflare檢查已經(jīng)到位,以確保尋求訪問該網(wǎng)站的IP地址不是自動(dòng)機(jī)器人,但很快它就再次完全正常運(yùn)行。據(jù)報(bào)道,臭名昭著的俄羅斯黑客組織Killnet在其Telegram頻道上吹噓自己對(duì)此次攻擊負(fù)責(zé),盡管這一消息尚未得到證實(shí)。安全供應(yīng)商RiverSafe的首席技術(shù)官Oseloka Obiora認(rèn)為,所有組織都應(yīng)確保其安全狀況符合目的。DDoS攻擊已成為俄羅斯黑客活動(dòng)分子最喜歡的工具,因?yàn)樗麄兿M麘土P烏克蘭的盟友并獲得地緣政治分?jǐn)?shù)。去年10月,Killnet聲稱對(duì)美國(guó)十多個(gè)機(jī)場(chǎng)的網(wǎng)站發(fā)起了嚴(yán)重的DDoS攻擊。

消息來源:網(wǎng)空閑話plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g


來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:【一周安全資訊0929】天津某單位因重要信息系統(tǒng)數(shù)據(jù)遭嚴(yán)重篡改被警方處罰;信通院發(fā)布《數(shù)據(jù)要素白皮書 (2023年)》

下一篇:“兩高一部”聯(lián)合印發(fā)《關(guān)于依法懲治網(wǎng)絡(luò)暴力違法犯罪的指導(dǎo)意見》