公司新聞

【一周安全資訊1007】多項信息安全國家標準10月1日起實施;GitLab發(fā)布緊急安全補丁修復(fù)高危漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2023-10-07    瀏覽次數(shù):
 

要聞速覽

1.以下信息安全國家標準10月1日起實施

2.GitLab發(fā)布緊急安全補丁修復(fù)高危漏洞

3.主流顯卡全中招!GPU.zip側(cè)信道攻擊可泄漏敏感數(shù)據(jù)

4.MOVEit漏洞導(dǎo)致美國900所院校學(xué)生信息發(fā)生大規(guī)模泄露

5.法國太空和國防供應(yīng)商Exail遭黑客攻擊,泄露大量敏感信息

6.英國王室網(wǎng)站因DDoS攻擊而癱瘓

一周政策要聞

以下信息安全國家標準10月1日起實施

《信息安全技術(shù) 電信領(lǐng)域數(shù)據(jù) 安全指南》

  • 實施日期:2023-10-01
  • 標準編號:GB/T 42447-2023
  • 概述/要求:本文件給出了開展電信領(lǐng)域數(shù)據(jù)處理活動的安全原則、通用安全措施,及在實施數(shù)據(jù)收集、存儲、使用加工、傳輸、提供、公開、銷毀等過程中宜采取的相應(yīng)安全措施。適用于指導(dǎo)電信數(shù)據(jù)處理者開展數(shù)據(jù)安全保護工作,也適用于指導(dǎo)第三方機構(gòu)開展電信數(shù)據(jù)安全評估工作。

《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》

  • 實施日期:2023-10-01
  • 標準編號:GB/T 42453-2023
  • 概述/要求:本文件給出了網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)框架,規(guī)定了該框架中核心組件的通用技術(shù)要求本文件適用于網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平臺等的規(guī)劃、設(shè)計、開發(fā)、建設(shè)和測評。

《信息安全技術(shù) 網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》

  • 實施日期:2023-10-01
  • 標準編號:GB/T 42446-2023
  • 概述/要求:本文件確立了網(wǎng)絡(luò)安全從業(yè)人員分類,規(guī)定了各類從業(yè)人員具備的知識和技能要求。適用于各類組織對網(wǎng)絡(luò)安全從業(yè)人員的使用、培養(yǎng)、評價、管理等。

《信息安全技術(shù) 個人信息去標識化效果評估指南》

《信息安全技術(shù) 公共域名服務(wù)系統(tǒng)安全要求》

《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)成本度量指南》

《信息技術(shù) 安全技術(shù) 實體鑒別 第3部分:采用數(shù)字簽名技術(shù)的機制》

《信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第1部分:概述》

《信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型》

《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全技術(shù)要求》

《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI系統(tǒng)安全測評方法》

《信息安全技術(shù) IPSec VPN安全接入基本要求與實施指南》

信息來源:粵密粵安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

業(yè)內(nèi)新聞速覽

GitLab發(fā)布緊急安全補丁修復(fù)高危漏洞

GitLab本周四緊急發(fā)布安全補丁,修復(fù)一個可讓攻擊者以其他用戶身份運行管道的嚴重漏洞。

該漏洞編號為CVE-2023-5009(CVSS評分:9.6),影響從13.12到16.2.7以及從16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究員JohanCarlsson(又名joaxcar)發(fā)現(xiàn)并報告了該漏洞。

GitLab在一份公告中表示:“攻擊者有可能通過預(yù)定的安全掃描策略以任意用戶身份運行管道。”“該漏洞是CVE-2023-3932(GitLab于2023年8月上旬修復(fù)了該漏洞)的繞過,并顯示出額外的影響?!?

通過利用CVE-2023-5009,攻擊者可以訪問敏感信息或利用冒充用戶的權(quán)限來修改源代碼或在系統(tǒng)上運行任意代碼,從而導(dǎo)致嚴重后果。

GitLab強烈建議用戶盡快將已安裝的GitLab更新到最新版本,以防范潛在風(fēng)險。

消息來源: Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow


主流顯卡全中招!GPU.zip側(cè)信道攻擊可泄漏敏感數(shù)據(jù)

近日,來自四所美國大學(xué)的研究人員針對主流顯卡中的一個漏洞開發(fā)了一種新的GPU側(cè)信道攻擊,當(dāng)用戶訪問惡意網(wǎng)頁時,該攻擊可利用GPU數(shù)據(jù)壓縮技術(shù)從現(xiàn)代顯卡中竊取敏感的視覺數(shù)據(jù)。

研究人員已經(jīng)通過在Chrome瀏覽器上執(zhí)行跨源SVG濾鏡像素竊取攻擊,展示了這種"GPU.zip"攻擊的有效性,并2023年3月向受影響的顯卡制造商披露了這一漏洞。

然而,截至2023年9月,受影響的GPU供應(yīng)商(AMD、蘋果、ARM、英偉達、高通)或Google(Chrome)均尚未推出漏洞補丁。

德克薩斯大學(xué)奧斯汀分校、卡內(nèi)基梅隆大學(xué)、華盛頓大學(xué)和伊利諾伊大學(xué)厄巴納-香檳分校的研究人員在論文中對該漏洞進行了詳細描述,并將在第45屆IEEE安全與隱私研討會上發(fā)表。

消息來源:GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA


MOVEit漏洞導(dǎo)致美國900所院校學(xué)生信息發(fā)生大規(guī)模泄露

美國非營利教育組織NSC(國家學(xué)生信息交換所)近日披露,其MOVEit服務(wù)器遭到入侵并導(dǎo)致近900所高等院校的學(xué)生個人信息被盜。

NSC為大約3600所北美學(xué)院和大學(xué)以及2.2萬所高中提供教育報告、數(shù)據(jù)交換、驗證和研究服務(wù)。

美國國家安全委員會已代表受影響的學(xué)校向加州總檢察長辦公室提交了一份數(shù)據(jù)泄露通知信,披露攻擊者于5月30日獲得了對NSC的MOVEit托管文件傳輸(MFT)服務(wù)器的訪問權(quán)限,并竊取了包含大量個人信息的文件。

根據(jù)通知信內(nèi)容,被盜文件中包含的學(xué)生個人身份信息(PII)包括姓名、出生日期、聯(lián)系信息、社會安全號碼、學(xué)生ID號碼以及一些與學(xué)校相關(guān)的記錄(例如入學(xué)記錄、學(xué)位記錄和課程級別數(shù)據(jù))。

美國國家安全委員會還公布了受此數(shù)據(jù)泄露事件影響的教育組織名單。

消息來源:GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA


法國太空和國防供應(yīng)商Exail遭黑客攻擊,泄露大量敏感信息

Cybernews 研究團隊發(fā)現(xiàn),法國高科技工業(yè)集團 Exail 暴露了一個帶有數(shù)據(jù)庫憑證的可公開訪問的環(huán)境 (.env) 文件。

Exail于 2022 年由 ECA Group 和 iXblue 合并后成立,專注于機器人、海事、導(dǎo)航、航空航天和光子技術(shù),其客戶包括美國海岸警衛(wèi)隊。由于這些特性,Exail成為攻擊者特別感興趣的目標。

研究團隊發(fā)現(xiàn),托管在 exail.com 網(wǎng)站上可公開訪問的 .env 文件已暴露在互聯(lián)網(wǎng)上,導(dǎo)致任何人都可以對其進行訪問。環(huán)境文件充當(dāng)計算機程序的一組指令,因此,文件的完全開放可能會暴露關(guān)鍵數(shù)據(jù),一旦攻擊者訪問,便可以查看、修改或刪除敏感數(shù)據(jù)并執(zhí)行未經(jīng)授權(quán)的操作,并為攻擊者者提供一系列攻擊選項。

研究團隊還發(fā)現(xiàn),Exail 的網(wǎng)絡(luò)服務(wù)器版本和特定操作系統(tǒng)也受到了威脅。如果攻擊者知道網(wǎng)絡(luò)服務(wù)器上運行的操作系統(tǒng)及其版本,就可以針對性地利用與操作系統(tǒng)相關(guān)的特定漏洞。

而具有已知特定操作系統(tǒng)暴露的 Web 服務(wù)器可能成為自動掃描工具、惡意軟件和僵尸網(wǎng)絡(luò)的目標。一旦攻擊者了解了操作系統(tǒng)的特性,就可以集中精力尋找和利用與該操作系統(tǒng)相關(guān)的漏洞。他們可以采用掃描、證明或使用已知漏洞等技術(shù)來訪問服務(wù)器或損害其安全性。

此外,攻擊者還可以利用操作系統(tǒng)特定的弱點對暴露的 Web 服務(wù)器發(fā)起拒絕服務(wù) (DoS) 攻擊,從而中斷服務(wù)器的運行。

Cybernews研究團隊向Exail進行反饋后,對方已經(jīng)修復(fù)了該問題,但并未透露有關(guān)問題更加詳細的信息。

消息來源:FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g


英國王室網(wǎng)站因DDoS攻擊而癱瘓

據(jù)報道,英國王室官方網(wǎng)站周日(10月1日)因分布式拒絕服務(wù)(DDoS)攻擊而離線。據(jù)《獨立報》報道,從當(dāng)?shù)貢r間上午10點開始,Royal.uk網(wǎng)站大約有90分鐘無法訪問。盡管在撰寫本文時 Cloudflare檢查已經(jīng)到位,以確保尋求訪問該網(wǎng)站的IP地址不是自動機器人,但很快它就再次完全正常運行。據(jù)報道,臭名昭著的俄羅斯黑客組織Killnet在其Telegram頻道上吹噓自己對此次攻擊負責(zé),盡管這一消息尚未得到證實。安全供應(yīng)商RiverSafe的首席技術(shù)官Oseloka Obiora認為,所有組織都應(yīng)確保其安全狀況符合目的。DDoS攻擊已成為俄羅斯黑客活動分子最喜歡的工具,因為他們希望懲罰烏克蘭的盟友并獲得地緣政治分數(shù)。去年10月,Killnet聲稱對美國十多個機場的網(wǎng)站發(fā)起了嚴重的DDoS攻擊。

消息來源:網(wǎng)空閑話plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g


來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:【一周安全資訊0929】天津某單位因重要信息系統(tǒng)數(shù)據(jù)遭嚴重篡改被警方處罰;信通院發(fā)布《數(shù)據(jù)要素白皮書 (2023年)》

下一篇:“兩高一部”聯(lián)合印發(fā)《關(guān)于依法懲治網(wǎng)絡(luò)暴力違法犯罪的指導(dǎo)意見》