公司新聞

【一周安全資訊0217】《寄遞服務(wù)用戶個人信息安全管理辦法(征求意見稿)》發(fā)布;佳能修補(bǔ)小型辦公打印機(jī)中的 7 個嚴(yán)重漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2024-02-17    瀏覽次數(shù):
 

要聞速覽

1、財政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

2、《寄遞服務(wù)用戶個人信息安全管理辦法(征求意見稿)》公開征求意見

3、CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報

4、佳能修補(bǔ)小型辦公打印機(jī)中的 7 個嚴(yán)重漏洞

5、用300萬支電動牙刷發(fā)起DDoS攻擊?假的!

6、華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性


一周政策要聞

財政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

財政部日前印發(fā)通知,加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理,充分發(fā)揮數(shù)據(jù)資產(chǎn)價值作用。

按照通知,行政事業(yè)單位數(shù)據(jù)資產(chǎn)是指各級行政事業(yè)單位在依法履職或提供公共服務(wù)過程中持有或控制的,預(yù)期能夠產(chǎn)生管理服務(wù)潛力或帶來經(jīng)濟(jì)利益流入的數(shù)據(jù)資源。

通知明確,行政事業(yè)單位主要通過自主采集、生產(chǎn)加工、購置等方式配置數(shù)據(jù)資產(chǎn)。加強(qiáng)數(shù)據(jù)資產(chǎn)源頭管理,在依法履職或提供公共服務(wù)過程中,應(yīng)當(dāng)按照規(guī)定的范圍、方法、技術(shù)標(biāo)準(zhǔn)等進(jìn)行自主采集、生產(chǎn)加工數(shù)據(jù)形成資產(chǎn)。通過購置方式配置數(shù)據(jù)資產(chǎn)的,應(yīng)當(dāng)根據(jù)依法履職和事業(yè)發(fā)展需要,落實過緊日子要求,按照預(yù)算管理規(guī)定科學(xué)配置,涉及政府采購的應(yīng)當(dāng)執(zhí)行政府采購有關(guān)規(guī)定。

在開放共享方面,通知提出,在確保公共安全和保護(hù)個人隱私的前提下,加強(qiáng)數(shù)據(jù)資產(chǎn)匯聚共享和開發(fā)開放,促進(jìn)數(shù)據(jù)資產(chǎn)使用價值充分利用。加大數(shù)據(jù)資產(chǎn)供給使用,推動用于公共治理、公益事業(yè)的數(shù)據(jù)資產(chǎn)有條件無償使用,探索用于產(chǎn)業(yè)發(fā)展、行業(yè)發(fā)展的數(shù)據(jù)資產(chǎn)有條件有償使用。依法依規(guī)予以保密的數(shù)據(jù)資產(chǎn)不予開放,開放共享進(jìn)入市場的數(shù)據(jù)資產(chǎn)應(yīng)當(dāng)明確授權(quán)使用范圍,并嚴(yán)格授權(quán)使用。

通知強(qiáng)調(diào),要建立合理的數(shù)據(jù)資產(chǎn)收益分配機(jī)制,依法依規(guī)維護(hù)數(shù)據(jù)資產(chǎn)權(quán)益。行政單位數(shù)據(jù)資產(chǎn)使用形成的收入,按照政府非稅收入和國庫集中收繳制度的有關(guān)規(guī)定管理。事業(yè)單位數(shù)據(jù)資產(chǎn)使用形成的收入,由本級財政部門規(guī)定具體管理辦法。除國家另有規(guī)定外,行政事業(yè)單位數(shù)據(jù)資產(chǎn)的處置收入按照政府非稅收入和國庫集中收繳制度的有關(guān)規(guī)定管理。任何行政事業(yè)單位及個人不得違反國家規(guī)定,多收、少收、不收、少繳、不繳、侵占、私分、截留、占用、挪用、隱匿、坐支數(shù)據(jù)資產(chǎn)相關(guān)收入。

此外,通知還指出,要嚴(yán)格防控風(fēng)險,確保數(shù)據(jù)安全。建立數(shù)據(jù)資產(chǎn)安全管理制度和監(jiān)測預(yù)警、應(yīng)急處置機(jī)制,推進(jìn)數(shù)據(jù)資產(chǎn)分類分級管理,把安全貫穿數(shù)據(jù)資產(chǎn)全生命周期管理,有效防范和化解各類數(shù)據(jù)資產(chǎn)安全風(fēng)險,切實筑牢數(shù)據(jù)資產(chǎn)安全保障防線。

信息來源:中華人民共和國財政部https://www.mof.gov.cn/jrttts/202402/t20240208_3928613.htm


《寄遞服務(wù)用戶個人信息安全管理辦法(征求意見稿)》公開征求意見

為貫徹《中華人民共和國郵政法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《快遞暫行條例》等法律法規(guī),保護(hù)寄遞服務(wù)用戶個人信息權(quán)益,規(guī)范寄遞企業(yè)用戶個人信息處理活動,國家郵政局日前起草了《寄遞服務(wù)用戶個人信息安全管理辦法(征求意見稿)》(以下簡稱“管理辦法”),現(xiàn)向社會公開征求意見。

現(xiàn)將該管理辦法征求意見稿面向社會公開征求意見,如有意見或建議請于2024年3月2日前反饋。

信息來源:中華人民共和國國家郵政局  https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml


業(yè)內(nèi)新聞速覽

CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報

近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Oracle WebLogic Server安全漏洞(CNNVD-202401-1680、CVE-2024-20931)情況的報送。攻擊者可利用T3、IIOP協(xié)議對目標(biāo)系統(tǒng)進(jìn)行破壞,進(jìn)而接管服務(wù)器。Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。目前,Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞,建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應(yīng)用從開發(fā)到生產(chǎn)的整個生命周期管理,并簡化了應(yīng)用的部署和管理。

Oracle WebLogic Server存在安全漏洞。攻擊者可利用T3、IIOP協(xié)議對目標(biāo)系統(tǒng)進(jìn)行破壞,進(jìn)而接管服務(wù)器。

二、危害影響

Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。

三、修復(fù)建議

目前,Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞,建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。

官方參考鏈接:https://www.oracle.com/security-alerts/cpuapr2023.html。

消息來源:國家信息安全漏洞庫  https://www.cnnvd.org.cn/home/warn


佳能修補(bǔ)小型辦公打印機(jī)中的 7 個嚴(yán)重漏洞

日本電子產(chǎn)品制造商佳能近日宣布了軟件更新,修復(fù)了影響幾種小型辦公打印機(jī)型號的七個嚴(yán)重漏洞。

這些被描述為緩沖區(qū)溢出錯誤的問題可以通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程代碼執(zhí)行 (RCE) 或?qū)е乱资芄舻漠a(chǎn)品變得無響應(yīng)?!斑@些漏洞表明,如果產(chǎn)品不使用路由器(有線或 Wi-Fi)直接連接到互聯(lián)網(wǎng),未經(jīng)身份驗證的遠(yuǎn)程攻擊者可能能夠執(zhí)行任意代碼和/或能夠瞄準(zhǔn)該產(chǎn)品在通過互聯(lián)網(wǎng)的拒絕服務(wù) (DoS) 攻擊中,”佳能指出。這些缺陷被追蹤為 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根據(jù)日本漏洞信息門戶網(wǎng)站JVN 的數(shù)據(jù),他們的 CVSS 得分為 9.8。NIST 公告顯示,這些缺陷是在 CPCA PDL 資源下載過程、地址簿密碼過程、WSD 探測請求過程、地址簿用戶名過程、SLP 屬性請求過程、CPCA 顏色 LUT 資源下載過程和 CPCA PCFAX 號碼等組件中發(fā)現(xiàn)的。易受攻擊的打印機(jī)型號因地區(qū)而異:歐洲為 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列,北美為 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列;以及日本的 Satera LBP670C 和 MF750C 系列。不過,對于所有型號,這些漏洞都會影響固件版本 03.07 及更早版本??梢栽诩涯艿牡貐^(qū)網(wǎng)站上找到解決這些錯誤的更新?!澳壳斑€沒有關(guān)于這些漏洞被利用的報告。然而,為了增強(qiáng)產(chǎn)品的安全性,我們建議客戶安裝適用于受影響型號的最新固件,”佳能在其歐洲支持網(wǎng)站上表示。鑒于上述漏洞可以被遠(yuǎn)程利用,我們還建議客戶限制對打印機(jī)的訪問,將它們隱藏在防火墻或路由器后面,并為其設(shè)置私有 IP 地址。

消息來源:安全客  https://www.anquanke.com/post/id/293193


用300萬支電動牙刷發(fā)起DDoS攻擊?假的!

近日國外“300萬支電動牙刷被用于DDoS攻擊”的安全事件引發(fā)廣泛討論。國外媒體發(fā)文稱“300萬支電動牙刷被黑客用惡意軟件感染,以執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊?!苯?jīng)Fortinet與媒體確認(rèn),這是一起虛假的新聞。
日前,瑞士新聞網(wǎng)站Aargauer Zeitung發(fā)表了一篇報道,稱網(wǎng)絡(luò)安全公司Fortinet的一名員工表示,300萬支電動牙刷被Java惡意軟件感染,用來對一家瑞士公司進(jìn)行DDoS攻擊。文章中寫道:“電動牙刷用Java編程,攻擊者們悄無聲息地在其上安裝了惡意軟件——就像在其他300萬支牙刷上所做的那樣。只需一個命令,這些遠(yuǎn)程控制的牙刷同時訪問一家瑞士公司的網(wǎng)站,導(dǎo)致網(wǎng)站崩潰,癱瘓了四個小時,造成了數(shù)百萬美元的損失?!比绻麥?zhǔn)確無誤,這個故事無疑是戲劇性,且值得新聞報道。從2月7日開始,該新聞在其他科技新聞網(wǎng)站上迅速傳播,許多出版物在未經(jīng)證實的情況下報道了這次所謂的攻擊。然而,這個故事有一個問題——沒有記錄表明這次攻擊確實發(fā)生過。被認(rèn)為是文章消息來源的Fortinet沒有發(fā)布關(guān)于這次攻擊的任何信息,自從“牙刷僵尸網(wǎng)絡(luò)”故事昨天病毒式傳播以來,也沒有回應(yīng)媒體的評論請求。DDoS攻擊是指攻擊者向網(wǎng)站發(fā)送足夠多的請求或數(shù)據(jù),以壓倒其資源或帶寬,使其無法再接受合法訪問者的請求,有效地使網(wǎng)站無法使用。這種類型的攻擊越來越多地被黑客活動分子用于抗議一個國家或商業(yè)活動,或被威脅行為者用來勒索企業(yè)。為了執(zhí)行這些攻擊,路由器、服務(wù)器和物聯(lián)網(wǎng)設(shè)備通過暴力破解或使用默認(rèn)密碼,或者利用漏洞被黑客入侵。一旦設(shè)備受到侵害,就會安裝惡意軟件將其列為DDoS僵尸網(wǎng)絡(luò)的一部分,并使用它進(jìn)行攻擊。這些設(shè)備然后被集體用于對特定目標(biāo)發(fā)起強(qiáng)大的攻擊。根據(jù)Statista的數(shù)據(jù),預(yù)計到2024年底將有約170億個物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng),提供了一個巨大的潛在設(shè)備足跡,這些設(shè)備可能被招募到DDoS僵尸網(wǎng)絡(luò)中。300萬支電動牙刷被暴露在互聯(lián)網(wǎng)上,從而被惡意軟件感染的可能性是值得懷疑的。相反,這很可能是Fortinet與該報紙分享的一個假設(shè)性場景,被誤解或脫離上下文,創(chuàng)造了一個被安全專家廣泛質(zhì)疑的故事。此外,電動牙刷并不直接連接到互聯(lián)網(wǎng),而是通過藍(lán)牙連接到移動應(yīng)用程序,然后將您的數(shù)據(jù)上傳到基于網(wǎng)絡(luò)的平臺。這意味著,像這樣的大規(guī)模黑客攻擊只能通過對供應(yīng)鏈的攻擊來實現(xiàn),這種攻擊會將惡意固件推送到設(shè)備上。沒有記錄顯示這種情況發(fā)生過。如果真的發(fā)生了,那將是一個比DDoS攻擊更大的新聞。盡管有關(guān)牙刷DDoS僵尸網(wǎng)絡(luò)攻擊網(wǎng)站的故事聽起來很有趣,但它仍然是一個很好的提醒,說明攻擊者會針對任何暴露在互聯(lián)網(wǎng)上的設(shè)備。這包括路由器、服務(wù)器、可編程邏輯控制器(PLC)、打印機(jī)和網(wǎng)絡(luò)攝像頭。對于任何暴露在互聯(lián)網(wǎng)上的設(shè)備來說,安裝最新的安全更新和設(shè)置強(qiáng)密碼是至關(guān)重要的,以防止它們被招募到DDoS僵尸網(wǎng)絡(luò)中。

消息來源:FREEBUF  https://www.freebuf.com/news/391819.html


華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性

IT之家2月15日消息,雖然 Linux 內(nèi)核已經(jīng)在嘗試 Rust 編程來提高內(nèi)存安全性,但華為開發(fā)者近日提出了一項針對 Linux 內(nèi)核新“沙盒模式”的提案,提高內(nèi)核中 C 語言代碼的內(nèi)存安全性。。

Linux 郵件顯示,華為云的 Petr Tesarik 發(fā)出了有關(guān)新沙盒模式的“征求意見”補(bǔ)丁系列,Petr 將沙盒模式描述為:

沙盒模式的最終目標(biāo)是在僅允許內(nèi)存訪問預(yù)定義地址的環(huán)境中執(zhí)行本機(jī)內(nèi)核代碼,因此潛在的漏洞無法被利用或不會對內(nèi)核的其余部分產(chǎn)生影響。該補(bǔ)丁系列向內(nèi)核添加了沙盒模式的 API 和獨立于架構(gòu)的基礎(chǔ)設(shè)施。它在所有輸入和輸出數(shù)據(jù)的 vmalloc () 副本上運(yùn)行目標(biāo)函數(shù)。由于保護(hù)頁面,僅此一項就可以防止一些越界訪問。
根據(jù)文檔的描述,沙盒模式的主要目標(biāo)是通過分解內(nèi)核來減少內(nèi)核代碼中潛在內(nèi)存安全錯誤的影響。SBM API 支持在隔離的執(zhí)行環(huán)境中運(yùn)行每個組件,特別是用作輸入的內(nèi)存區(qū)域和 / 或輸出與內(nèi)核的其余部分隔離,并被保護(hù)頁包圍。在實現(xiàn)必要的 arch hook 的架構(gòu)上,沙盒模式利用硬件分頁設(shè)施和 CPU 特權(quán)級別來強(qiáng)制僅使用這些預(yù)定義的內(nèi)存區(qū)域。有了 arch 的支持,SBM 還可以從 protection violation 進(jìn)行恢復(fù)。這意味著 SBM 可強(qiáng)制終止沙盒,并向調(diào)用者返回錯誤代碼(例如 -EFAULT),以便執(zhí)行可以繼續(xù)。這種實現(xiàn)提供了強(qiáng)隔離機(jī)制。

消息來源:IT之家  https://www.ithome.com/0/750/399.htm?sf=NaBLO%2fcNdvJUH8gDqaalnxWTMUWbuIzyi56XxfQWkED%2fotF9j0Uwpe4%2bUYHgKUI2dhsCht7TRLw%3d


來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:2024年2月05日聚銘安全速遞

下一篇:蓄勢起航,乘龍而上!2024聚銘網(wǎng)絡(luò)開工大吉