公司新聞

【一周安全資訊0217】《寄遞服務(wù)用戶(hù)個(gè)人信息安全管理辦法(征求意見(jiàn)稿)》發(fā)布;佳能修補(bǔ)小型辦公打印機(jī)中的 7 個(gè)嚴(yán)重漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-02-17    瀏覽次數(shù):
 

要聞速覽

1、財(cái)政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

2、《寄遞服務(wù)用戶(hù)個(gè)人信息安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)

3、CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報(bào)

4、佳能修補(bǔ)小型辦公打印機(jī)中的 7 個(gè)嚴(yán)重漏洞

5、用300萬(wàn)支電動(dòng)牙刷發(fā)起DDoS攻擊?假的!

6、華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性


一周政策要聞

財(cái)政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

財(cái)政部日前印發(fā)通知,加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理,充分發(fā)揮數(shù)據(jù)資產(chǎn)價(jià)值作用。

按照通知,行政事業(yè)單位數(shù)據(jù)資產(chǎn)是指各級(jí)行政事業(yè)單位在依法履職或提供公共服務(wù)過(guò)程中持有或控制的,預(yù)期能夠產(chǎn)生管理服務(wù)潛力或帶來(lái)經(jīng)濟(jì)利益流入的數(shù)據(jù)資源。

通知明確,行政事業(yè)單位主要通過(guò)自主采集、生產(chǎn)加工、購(gòu)置等方式配置數(shù)據(jù)資產(chǎn)。加強(qiáng)數(shù)據(jù)資產(chǎn)源頭管理,在依法履職或提供公共服務(wù)過(guò)程中,應(yīng)當(dāng)按照規(guī)定的范圍、方法、技術(shù)標(biāo)準(zhǔn)等進(jìn)行自主采集、生產(chǎn)加工數(shù)據(jù)形成資產(chǎn)。通過(guò)購(gòu)置方式配置數(shù)據(jù)資產(chǎn)的,應(yīng)當(dāng)根據(jù)依法履職和事業(yè)發(fā)展需要,落實(shí)過(guò)緊日子要求,按照預(yù)算管理規(guī)定科學(xué)配置,涉及政府采購(gòu)的應(yīng)當(dāng)執(zhí)行政府采購(gòu)有關(guān)規(guī)定。

在開(kāi)放共享方面,通知提出,在確保公共安全和保護(hù)個(gè)人隱私的前提下,加強(qiáng)數(shù)據(jù)資產(chǎn)匯聚共享和開(kāi)發(fā)開(kāi)放,促進(jìn)數(shù)據(jù)資產(chǎn)使用價(jià)值充分利用。加大數(shù)據(jù)資產(chǎn)供給使用,推動(dòng)用于公共治理、公益事業(yè)的數(shù)據(jù)資產(chǎn)有條件無(wú)償使用,探索用于產(chǎn)業(yè)發(fā)展、行業(yè)發(fā)展的數(shù)據(jù)資產(chǎn)有條件有償使用。依法依規(guī)予以保密的數(shù)據(jù)資產(chǎn)不予開(kāi)放,開(kāi)放共享進(jìn)入市場(chǎng)的數(shù)據(jù)資產(chǎn)應(yīng)當(dāng)明確授權(quán)使用范圍,并嚴(yán)格授權(quán)使用。

通知強(qiáng)調(diào),要建立合理的數(shù)據(jù)資產(chǎn)收益分配機(jī)制,依法依規(guī)維護(hù)數(shù)據(jù)資產(chǎn)權(quán)益。行政單位數(shù)據(jù)資產(chǎn)使用形成的收入,按照政府非稅收入和國(guó)庫(kù)集中收繳制度的有關(guān)規(guī)定管理。事業(yè)單位數(shù)據(jù)資產(chǎn)使用形成的收入,由本級(jí)財(cái)政部門(mén)規(guī)定具體管理辦法。除國(guó)家另有規(guī)定外,行政事業(yè)單位數(shù)據(jù)資產(chǎn)的處置收入按照政府非稅收入和國(guó)庫(kù)集中收繳制度的有關(guān)規(guī)定管理。任何行政事業(yè)單位及個(gè)人不得違反國(guó)家規(guī)定,多收、少收、不收、少繳、不繳、侵占、私分、截留、占用、挪用、隱匿、坐支數(shù)據(jù)資產(chǎn)相關(guān)收入。

此外,通知還指出,要嚴(yán)格防控風(fēng)險(xiǎn),確保數(shù)據(jù)安全。建立數(shù)據(jù)資產(chǎn)安全管理制度和監(jiān)測(cè)預(yù)警、應(yīng)急處置機(jī)制,推進(jìn)數(shù)據(jù)資產(chǎn)分類(lèi)分級(jí)管理,把安全貫穿數(shù)據(jù)資產(chǎn)全生命周期管理,有效防范和化解各類(lèi)數(shù)據(jù)資產(chǎn)安全風(fēng)險(xiǎn),切實(shí)筑牢數(shù)據(jù)資產(chǎn)安全保障防線(xiàn)。

信息來(lái)源:中華人民共和國(guó)財(cái)政部https://www.mof.gov.cn/jrttts/202402/t20240208_3928613.htm


《寄遞服務(wù)用戶(hù)個(gè)人信息安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)

為貫徹《中華人民共和國(guó)郵政法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《快遞暫行條例》等法律法規(guī),保護(hù)寄遞服務(wù)用戶(hù)個(gè)人信息權(quán)益,規(guī)范寄遞企業(yè)用戶(hù)個(gè)人信息處理活動(dòng),國(guó)家郵政局日前起草了《寄遞服務(wù)用戶(hù)個(gè)人信息安全管理辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)“管理辦法”),現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。

現(xiàn)將該管理辦法征求意見(jiàn)稿面向社會(huì)公開(kāi)征求意見(jiàn),如有意見(jiàn)或建議請(qǐng)于2024年3月2日前反饋。

信息來(lái)源:中華人民共和國(guó)國(guó)家郵政局  https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml


業(yè)內(nèi)新聞速覽

CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報(bào)

近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Oracle WebLogic Server安全漏洞(CNNVD-202401-1680、CVE-2024-20931)情況的報(bào)送。攻擊者可利用T3、IIOP協(xié)議對(duì)目標(biāo)系統(tǒng)進(jìn)行破壞,進(jìn)而接管服務(wù)器。Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。目前,Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞,建議用戶(hù)及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。

一、漏洞介紹

Oracle WebLogic Server是美國(guó)甲骨文(Oracle)公司開(kāi)發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個(gè)現(xiàn)代輕型開(kāi)發(fā)平臺(tái),支持應(yīng)用從開(kāi)發(fā)到生產(chǎn)的整個(gè)生命周期管理,并簡(jiǎn)化了應(yīng)用的部署和管理。

Oracle WebLogic Server存在安全漏洞。攻擊者可利用T3、IIOP協(xié)議對(duì)目標(biāo)系統(tǒng)進(jìn)行破壞,進(jìn)而接管服務(wù)器。

二、危害影響

Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。

三、修復(fù)建議

目前,Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞,建議用戶(hù)及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。

官方參考鏈接:https://www.oracle.com/security-alerts/cpuapr2023.html。

消息來(lái)源:國(guó)家信息安全漏洞庫(kù)  https://www.cnnvd.org.cn/home/warn


佳能修補(bǔ)小型辦公打印機(jī)中的 7 個(gè)嚴(yán)重漏洞

日本電子產(chǎn)品制造商佳能近日宣布了軟件更新,修復(fù)了影響幾種小型辦公打印機(jī)型號(hào)的七個(gè)嚴(yán)重漏洞。

這些被描述為緩沖區(qū)溢出錯(cuò)誤的問(wèn)題可以通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程代碼執(zhí)行 (RCE) 或?qū)е乱资芄舻漠a(chǎn)品變得無(wú)響應(yīng)。“這些漏洞表明,如果產(chǎn)品不使用路由器(有線(xiàn)或 Wi-Fi)直接連接到互聯(lián)網(wǎng),未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能能夠執(zhí)行任意代碼和/或能夠瞄準(zhǔn)該產(chǎn)品在通過(guò)互聯(lián)網(wǎng)的拒絕服務(wù) (DoS) 攻擊中,”佳能指出。這些缺陷被追蹤為 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根據(jù)日本漏洞信息門(mén)戶(hù)網(wǎng)站JVN 的數(shù)據(jù),他們的 CVSS 得分為 9.8。NIST 公告顯示,這些缺陷是在 CPCA PDL 資源下載過(guò)程、地址簿密碼過(guò)程、WSD 探測(cè)請(qǐng)求過(guò)程、地址簿用戶(hù)名過(guò)程、SLP 屬性請(qǐng)求過(guò)程、CPCA 顏色 LUT 資源下載過(guò)程和 CPCA PCFAX 號(hào)碼等組件中發(fā)現(xiàn)的。易受攻擊的打印機(jī)型號(hào)因地區(qū)而異:歐洲為 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列,北美為 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列;以及日本的 Satera LBP670C 和 MF750C 系列。不過(guò),對(duì)于所有型號(hào),這些漏洞都會(huì)影響固件版本 03.07 及更早版本??梢栽诩涯艿牡貐^(qū)網(wǎng)站上找到解決這些錯(cuò)誤的更新?!澳壳斑€沒(méi)有關(guān)于這些漏洞被利用的報(bào)告。然而,為了增強(qiáng)產(chǎn)品的安全性,我們建議客戶(hù)安裝適用于受影響型號(hào)的最新固件,”佳能在其歐洲支持網(wǎng)站上表示。鑒于上述漏洞可以被遠(yuǎn)程利用,我們還建議客戶(hù)限制對(duì)打印機(jī)的訪(fǎng)問(wèn),將它們隱藏在防火墻或路由器后面,并為其設(shè)置私有 IP 地址。

消息來(lái)源:安全客  https://www.anquanke.com/post/id/293193


用300萬(wàn)支電動(dòng)牙刷發(fā)起DDoS攻擊?假的!

近日國(guó)外“300萬(wàn)支電動(dòng)牙刷被用于DDoS攻擊”的安全事件引發(fā)廣泛討論。國(guó)外媒體發(fā)文稱(chēng)“300萬(wàn)支電動(dòng)牙刷被黑客用惡意軟件感染,以執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊?!苯?jīng)Fortinet與媒體確認(rèn),這是一起虛假的新聞。
日前,瑞士新聞網(wǎng)站Aargauer Zeitung發(fā)表了一篇報(bào)道,稱(chēng)網(wǎng)絡(luò)安全公司Fortinet的一名員工表示,300萬(wàn)支電動(dòng)牙刷被Java惡意軟件感染,用來(lái)對(duì)一家瑞士公司進(jìn)行DDoS攻擊。文章中寫(xiě)道:“電動(dòng)牙刷用Java編程,攻擊者們悄無(wú)聲息地在其上安裝了惡意軟件——就像在其他300萬(wàn)支牙刷上所做的那樣。只需一個(gè)命令,這些遠(yuǎn)程控制的牙刷同時(shí)訪(fǎng)問(wèn)一家瑞士公司的網(wǎng)站,導(dǎo)致網(wǎng)站崩潰,癱瘓了四個(gè)小時(shí),造成了數(shù)百萬(wàn)美元的損失?!比绻麥?zhǔn)確無(wú)誤,這個(gè)故事無(wú)疑是戲劇性,且值得新聞報(bào)道。從2月7日開(kāi)始,該新聞在其他科技新聞網(wǎng)站上迅速傳播,許多出版物在未經(jīng)證實(shí)的情況下報(bào)道了這次所謂的攻擊。然而,這個(gè)故事有一個(gè)問(wèn)題——沒(méi)有記錄表明這次攻擊確實(shí)發(fā)生過(guò)。被認(rèn)為是文章消息來(lái)源的Fortinet沒(méi)有發(fā)布關(guān)于這次攻擊的任何信息,自從“牙刷僵尸網(wǎng)絡(luò)”故事昨天病毒式傳播以來(lái),也沒(méi)有回應(yīng)媒體的評(píng)論請(qǐng)求。DDoS攻擊是指攻擊者向網(wǎng)站發(fā)送足夠多的請(qǐng)求或數(shù)據(jù),以壓倒其資源或帶寬,使其無(wú)法再接受合法訪(fǎng)問(wèn)者的請(qǐng)求,有效地使網(wǎng)站無(wú)法使用。這種類(lèi)型的攻擊越來(lái)越多地被黑客活動(dòng)分子用于抗議一個(gè)國(guó)家或商業(yè)活動(dòng),或被威脅行為者用來(lái)勒索企業(yè)。為了執(zhí)行這些攻擊,路由器、服務(wù)器和物聯(lián)網(wǎng)設(shè)備通過(guò)暴力破解或使用默認(rèn)密碼,或者利用漏洞被黑客入侵。一旦設(shè)備受到侵害,就會(huì)安裝惡意軟件將其列為DDoS僵尸網(wǎng)絡(luò)的一部分,并使用它進(jìn)行攻擊。這些設(shè)備然后被集體用于對(duì)特定目標(biāo)發(fā)起強(qiáng)大的攻擊。根據(jù)Statista的數(shù)據(jù),預(yù)計(jì)到2024年底將有約170億個(gè)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng),提供了一個(gè)巨大的潛在設(shè)備足跡,這些設(shè)備可能被招募到DDoS僵尸網(wǎng)絡(luò)中。300萬(wàn)支電動(dòng)牙刷被暴露在互聯(lián)網(wǎng)上,從而被惡意軟件感染的可能性是值得懷疑的。相反,這很可能是Fortinet與該報(bào)紙分享的一個(gè)假設(shè)性場(chǎng)景,被誤解或脫離上下文,創(chuàng)造了一個(gè)被安全專(zhuān)家廣泛質(zhì)疑的故事。此外,電動(dòng)牙刷并不直接連接到互聯(lián)網(wǎng),而是通過(guò)藍(lán)牙連接到移動(dòng)應(yīng)用程序,然后將您的數(shù)據(jù)上傳到基于網(wǎng)絡(luò)的平臺(tái)。這意味著,像這樣的大規(guī)模黑客攻擊只能通過(guò)對(duì)供應(yīng)鏈的攻擊來(lái)實(shí)現(xiàn),這種攻擊會(huì)將惡意固件推送到設(shè)備上。沒(méi)有記錄顯示這種情況發(fā)生過(guò)。如果真的發(fā)生了,那將是一個(gè)比DDoS攻擊更大的新聞。盡管有關(guān)牙刷DDoS僵尸網(wǎng)絡(luò)攻擊網(wǎng)站的故事聽(tīng)起來(lái)很有趣,但它仍然是一個(gè)很好的提醒,說(shuō)明攻擊者會(huì)針對(duì)任何暴露在互聯(lián)網(wǎng)上的設(shè)備。這包括路由器、服務(wù)器、可編程邏輯控制器(PLC)、打印機(jī)和網(wǎng)絡(luò)攝像頭。對(duì)于任何暴露在互聯(lián)網(wǎng)上的設(shè)備來(lái)說(shuō),安裝最新的安全更新和設(shè)置強(qiáng)密碼是至關(guān)重要的,以防止它們被招募到DDoS僵尸網(wǎng)絡(luò)中。

消息來(lái)源:FREEBUF  https://www.freebuf.com/news/391819.html


華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性

IT之家2月15日消息,雖然 Linux 內(nèi)核已經(jīng)在嘗試 Rust 編程來(lái)提高內(nèi)存安全性,但華為開(kāi)發(fā)者近日提出了一項(xiàng)針對(duì) Linux 內(nèi)核新“沙盒模式”的提案,提高內(nèi)核中 C 語(yǔ)言代碼的內(nèi)存安全性。。

Linux 郵件顯示,華為云的 Petr Tesarik 發(fā)出了有關(guān)新沙盒模式的“征求意見(jiàn)”補(bǔ)丁系列,Petr 將沙盒模式描述為:

沙盒模式的最終目標(biāo)是在僅允許內(nèi)存訪(fǎng)問(wèn)預(yù)定義地址的環(huán)境中執(zhí)行本機(jī)內(nèi)核代碼,因此潛在的漏洞無(wú)法被利用或不會(huì)對(duì)內(nèi)核的其余部分產(chǎn)生影響。該補(bǔ)丁系列向內(nèi)核添加了沙盒模式的 API 和獨(dú)立于架構(gòu)的基礎(chǔ)設(shè)施。它在所有輸入和輸出數(shù)據(jù)的 vmalloc () 副本上運(yùn)行目標(biāo)函數(shù)。由于保護(hù)頁(yè)面,僅此一項(xiàng)就可以防止一些越界訪(fǎng)問(wèn)。
根據(jù)文檔的描述,沙盒模式的主要目標(biāo)是通過(guò)分解內(nèi)核來(lái)減少內(nèi)核代碼中潛在內(nèi)存安全錯(cuò)誤的影響。SBM API 支持在隔離的執(zhí)行環(huán)境中運(yùn)行每個(gè)組件,特別是用作輸入的內(nèi)存區(qū)域和 / 或輸出與內(nèi)核的其余部分隔離,并被保護(hù)頁(yè)包圍。在實(shí)現(xiàn)必要的 arch hook 的架構(gòu)上,沙盒模式利用硬件分頁(yè)設(shè)施和 CPU 特權(quán)級(jí)別來(lái)強(qiáng)制僅使用這些預(yù)定義的內(nèi)存區(qū)域。有了 arch 的支持,SBM 還可以從 protection violation 進(jìn)行恢復(fù)。這意味著 SBM 可強(qiáng)制終止沙盒,并向調(diào)用者返回錯(cuò)誤代碼(例如 -EFAULT),以便執(zhí)行可以繼續(xù)。這種實(shí)現(xiàn)提供了強(qiáng)隔離機(jī)制。

消息來(lái)源:IT之家  https://www.ithome.com/0/750/399.htm?sf=NaBLO%2fcNdvJUH8gDqaalnxWTMUWbuIzyi56XxfQWkED%2fotF9j0Uwpe4%2bUYHgKUI2dhsCht7TRLw%3d


來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:2024年2月05日聚銘安全速遞

下一篇:蓄勢(shì)起航,乘龍而上!2024聚銘網(wǎng)絡(luò)開(kāi)工大吉