公司新聞

【一周安全資訊0217】《寄遞服務用戶個人信息安全管理辦法(征求意見稿)》發(fā)布;佳能修補小型辦公打印機中的 7 個嚴重漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2024-02-17    瀏覽次數(shù):
 

要聞速覽

1、財政部印發(fā)《關(guān)于加強行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

2、《寄遞服務用戶個人信息安全管理辦法(征求意見稿)》公開征求意見

3、CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報

4、佳能修補小型辦公打印機中的 7 個嚴重漏洞

5、用300萬支電動牙刷發(fā)起DDoS攻擊?假的!

6、華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性


一周政策要聞

財政部印發(fā)《關(guān)于加強行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

財政部日前印發(fā)通知,加強行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理,充分發(fā)揮數(shù)據(jù)資產(chǎn)價值作用。

按照通知,行政事業(yè)單位數(shù)據(jù)資產(chǎn)是指各級行政事業(yè)單位在依法履職或提供公共服務過程中持有或控制的,預期能夠產(chǎn)生管理服務潛力或帶來經(jīng)濟利益流入的數(shù)據(jù)資源。

通知明確,行政事業(yè)單位主要通過自主采集、生產(chǎn)加工、購置等方式配置數(shù)據(jù)資產(chǎn)。加強數(shù)據(jù)資產(chǎn)源頭管理,在依法履職或提供公共服務過程中,應當按照規(guī)定的范圍、方法、技術(shù)標準等進行自主采集、生產(chǎn)加工數(shù)據(jù)形成資產(chǎn)。通過購置方式配置數(shù)據(jù)資產(chǎn)的,應當根據(jù)依法履職和事業(yè)發(fā)展需要,落實過緊日子要求,按照預算管理規(guī)定科學配置,涉及政府采購的應當執(zhí)行政府采購有關(guān)規(guī)定。

在開放共享方面,通知提出,在確保公共安全和保護個人隱私的前提下,加強數(shù)據(jù)資產(chǎn)匯聚共享和開發(fā)開放,促進數(shù)據(jù)資產(chǎn)使用價值充分利用。加大數(shù)據(jù)資產(chǎn)供給使用,推動用于公共治理、公益事業(yè)的數(shù)據(jù)資產(chǎn)有條件無償使用,探索用于產(chǎn)業(yè)發(fā)展、行業(yè)發(fā)展的數(shù)據(jù)資產(chǎn)有條件有償使用。依法依規(guī)予以保密的數(shù)據(jù)資產(chǎn)不予開放,開放共享進入市場的數(shù)據(jù)資產(chǎn)應當明確授權(quán)使用范圍,并嚴格授權(quán)使用。

通知強調(diào),要建立合理的數(shù)據(jù)資產(chǎn)收益分配機制,依法依規(guī)維護數(shù)據(jù)資產(chǎn)權(quán)益。行政單位數(shù)據(jù)資產(chǎn)使用形成的收入,按照政府非稅收入和國庫集中收繳制度的有關(guān)規(guī)定管理。事業(yè)單位數(shù)據(jù)資產(chǎn)使用形成的收入,由本級財政部門規(guī)定具體管理辦法。除國家另有規(guī)定外,行政事業(yè)單位數(shù)據(jù)資產(chǎn)的處置收入按照政府非稅收入和國庫集中收繳制度的有關(guān)規(guī)定管理。任何行政事業(yè)單位及個人不得違反國家規(guī)定,多收、少收、不收、少繳、不繳、侵占、私分、截留、占用、挪用、隱匿、坐支數(shù)據(jù)資產(chǎn)相關(guān)收入。

此外,通知還指出,要嚴格防控風險,確保數(shù)據(jù)安全。建立數(shù)據(jù)資產(chǎn)安全管理制度和監(jiān)測預警、應急處置機制,推進數(shù)據(jù)資產(chǎn)分類分級管理,把安全貫穿數(shù)據(jù)資產(chǎn)全生命周期管理,有效防范和化解各類數(shù)據(jù)資產(chǎn)安全風險,切實筑牢數(shù)據(jù)資產(chǎn)安全保障防線。

信息來源:中華人民共和國財政部https://www.mof.gov.cn/jrttts/202402/t20240208_3928613.htm


《寄遞服務用戶個人信息安全管理辦法(征求意見稿)》公開征求意見

為貫徹《中華人民共和國郵政法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《快遞暫行條例》等法律法規(guī),保護寄遞服務用戶個人信息權(quán)益,規(guī)范寄遞企業(yè)用戶個人信息處理活動,國家郵政局日前起草了《寄遞服務用戶個人信息安全管理辦法(征求意見稿)》(以下簡稱“管理辦法”),現(xiàn)向社會公開征求意見。

現(xiàn)將該管理辦法征求意見稿面向社會公開征求意見,如有意見或建議請于2024年3月2日前反饋。

信息來源:中華人民共和國國家郵政局  https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml


業(yè)內(nèi)新聞速覽

CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報

近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Oracle WebLogic Server安全漏洞(CNNVD-202401-1680、CVE-2024-20931)情況的報送。攻擊者可利用T3、IIOP協(xié)議對目標系統(tǒng)進行破壞,進而接管服務器。Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。目前,Oracle官方已發(fā)布漏洞補丁修復了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務中間件,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應用從開發(fā)到生產(chǎn)的整個生命周期管理,并簡化了應用的部署和管理。

Oracle WebLogic Server存在安全漏洞。攻擊者可利用T3、IIOP協(xié)議對目標系統(tǒng)進行破壞,進而接管服務器。

二、危害影響

Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。

三、修復建議

目前,Oracle官方已發(fā)布漏洞補丁修復了該漏洞,建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。

官方參考鏈接:https://www.oracle.com/security-alerts/cpuapr2023.html。

消息來源:國家信息安全漏洞庫  https://www.cnnvd.org.cn/home/warn


佳能修補小型辦公打印機中的 7 個嚴重漏洞

日本電子產(chǎn)品制造商佳能近日宣布了軟件更新,修復了影響幾種小型辦公打印機型號的七個嚴重漏洞。

這些被描述為緩沖區(qū)溢出錯誤的問題可以通過網(wǎng)絡(luò)進行遠程代碼執(zhí)行 (RCE) 或?qū)е乱资芄舻漠a(chǎn)品變得無響應?!斑@些漏洞表明,如果產(chǎn)品不使用路由器(有線或 Wi-Fi)直接連接到互聯(lián)網(wǎng),未經(jīng)身份驗證的遠程攻擊者可能能夠執(zhí)行任意代碼和/或能夠瞄準該產(chǎn)品在通過互聯(lián)網(wǎng)的拒絕服務 (DoS) 攻擊中,”佳能指出。這些缺陷被追蹤為 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根據(jù)日本漏洞信息門戶網(wǎng)站JVN 的數(shù)據(jù),他們的 CVSS 得分為 9.8。NIST 公告顯示,這些缺陷是在 CPCA PDL 資源下載過程、地址簿密碼過程、WSD 探測請求過程、地址簿用戶名過程、SLP 屬性請求過程、CPCA 顏色 LUT 資源下載過程和 CPCA PCFAX 號碼等組件中發(fā)現(xiàn)的。易受攻擊的打印機型號因地區(qū)而異:歐洲為 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列,北美為 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列;以及日本的 Satera LBP670C 和 MF750C 系列。不過,對于所有型號,這些漏洞都會影響固件版本 03.07 及更早版本??梢栽诩涯艿牡貐^(qū)網(wǎng)站上找到解決這些錯誤的更新。“目前還沒有關(guān)于這些漏洞被利用的報告。然而,為了增強產(chǎn)品的安全性,我們建議客戶安裝適用于受影響型號的最新固件,”佳能在其歐洲支持網(wǎng)站上表示。鑒于上述漏洞可以被遠程利用,我們還建議客戶限制對打印機的訪問,將它們隱藏在防火墻或路由器后面,并為其設(shè)置私有 IP 地址。

消息來源:安全客  https://www.anquanke.com/post/id/293193


用300萬支電動牙刷發(fā)起DDoS攻擊?假的!

近日國外“300萬支電動牙刷被用于DDoS攻擊”的安全事件引發(fā)廣泛討論。國外媒體發(fā)文稱“300萬支電動牙刷被黑客用惡意軟件感染,以執(zhí)行分布式拒絕服務(DDoS)攻擊?!苯?jīng)Fortinet與媒體確認,這是一起虛假的新聞。
日前,瑞士新聞網(wǎng)站Aargauer Zeitung發(fā)表了一篇報道,稱網(wǎng)絡(luò)安全公司Fortinet的一名員工表示,300萬支電動牙刷被Java惡意軟件感染,用來對一家瑞士公司進行DDoS攻擊。文章中寫道:“電動牙刷用Java編程,攻擊者們悄無聲息地在其上安裝了惡意軟件——就像在其他300萬支牙刷上所做的那樣。只需一個命令,這些遠程控制的牙刷同時訪問一家瑞士公司的網(wǎng)站,導致網(wǎng)站崩潰,癱瘓了四個小時,造成了數(shù)百萬美元的損失?!比绻麥蚀_無誤,這個故事無疑是戲劇性,且值得新聞報道。從2月7日開始,該新聞在其他科技新聞網(wǎng)站上迅速傳播,許多出版物在未經(jīng)證實的情況下報道了這次所謂的攻擊。然而,這個故事有一個問題——沒有記錄表明這次攻擊確實發(fā)生過。被認為是文章消息來源的Fortinet沒有發(fā)布關(guān)于這次攻擊的任何信息,自從“牙刷僵尸網(wǎng)絡(luò)”故事昨天病毒式傳播以來,也沒有回應媒體的評論請求。DDoS攻擊是指攻擊者向網(wǎng)站發(fā)送足夠多的請求或數(shù)據(jù),以壓倒其資源或帶寬,使其無法再接受合法訪問者的請求,有效地使網(wǎng)站無法使用。這種類型的攻擊越來越多地被黑客活動分子用于抗議一個國家或商業(yè)活動,或被威脅行為者用來勒索企業(yè)。為了執(zhí)行這些攻擊,路由器、服務器和物聯(lián)網(wǎng)設(shè)備通過暴力破解或使用默認密碼,或者利用漏洞被黑客入侵。一旦設(shè)備受到侵害,就會安裝惡意軟件將其列為DDoS僵尸網(wǎng)絡(luò)的一部分,并使用它進行攻擊。這些設(shè)備然后被集體用于對特定目標發(fā)起強大的攻擊。根據(jù)Statista的數(shù)據(jù),預計到2024年底將有約170億個物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng),提供了一個巨大的潛在設(shè)備足跡,這些設(shè)備可能被招募到DDoS僵尸網(wǎng)絡(luò)中。300萬支電動牙刷被暴露在互聯(lián)網(wǎng)上,從而被惡意軟件感染的可能性是值得懷疑的。相反,這很可能是Fortinet與該報紙分享的一個假設(shè)性場景,被誤解或脫離上下文,創(chuàng)造了一個被安全專家廣泛質(zhì)疑的故事。此外,電動牙刷并不直接連接到互聯(lián)網(wǎng),而是通過藍牙連接到移動應用程序,然后將您的數(shù)據(jù)上傳到基于網(wǎng)絡(luò)的平臺。這意味著,像這樣的大規(guī)模黑客攻擊只能通過對供應鏈的攻擊來實現(xiàn),這種攻擊會將惡意固件推送到設(shè)備上。沒有記錄顯示這種情況發(fā)生過。如果真的發(fā)生了,那將是一個比DDoS攻擊更大的新聞。盡管有關(guān)牙刷DDoS僵尸網(wǎng)絡(luò)攻擊網(wǎng)站的故事聽起來很有趣,但它仍然是一個很好的提醒,說明攻擊者會針對任何暴露在互聯(lián)網(wǎng)上的設(shè)備。這包括路由器、服務器、可編程邏輯控制器(PLC)、打印機和網(wǎng)絡(luò)攝像頭。對于任何暴露在互聯(lián)網(wǎng)上的設(shè)備來說,安裝最新的安全更新和設(shè)置強密碼是至關(guān)重要的,以防止它們被招募到DDoS僵尸網(wǎng)絡(luò)中。

消息來源:FREEBUF  https://www.freebuf.com/news/391819.html


華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性

IT之家2月15日消息,雖然 Linux 內(nèi)核已經(jīng)在嘗試 Rust 編程來提高內(nèi)存安全性,但華為開發(fā)者近日提出了一項針對 Linux 內(nèi)核新“沙盒模式”的提案,提高內(nèi)核中 C 語言代碼的內(nèi)存安全性。。

Linux 郵件顯示,華為云的 Petr Tesarik 發(fā)出了有關(guān)新沙盒模式的“征求意見”補丁系列,Petr 將沙盒模式描述為:

沙盒模式的最終目標是在僅允許內(nèi)存訪問預定義地址的環(huán)境中執(zhí)行本機內(nèi)核代碼,因此潛在的漏洞無法被利用或不會對內(nèi)核的其余部分產(chǎn)生影響。該補丁系列向內(nèi)核添加了沙盒模式的 API 和獨立于架構(gòu)的基礎(chǔ)設(shè)施。它在所有輸入和輸出數(shù)據(jù)的 vmalloc () 副本上運行目標函數(shù)。由于保護頁面,僅此一項就可以防止一些越界訪問。
根據(jù)文檔的描述,沙盒模式的主要目標是通過分解內(nèi)核來減少內(nèi)核代碼中潛在內(nèi)存安全錯誤的影響。SBM API 支持在隔離的執(zhí)行環(huán)境中運行每個組件,特別是用作輸入的內(nèi)存區(qū)域和 / 或輸出與內(nèi)核的其余部分隔離,并被保護頁包圍。在實現(xiàn)必要的 arch hook 的架構(gòu)上,沙盒模式利用硬件分頁設(shè)施和 CPU 特權(quán)級別來強制僅使用這些預定義的內(nèi)存區(qū)域。有了 arch 的支持,SBM 還可以從 protection violation 進行恢復。這意味著 SBM 可強制終止沙盒,并向調(diào)用者返回錯誤代碼(例如 -EFAULT),以便執(zhí)行可以繼續(xù)。這種實現(xiàn)提供了強隔離機制。

消息來源:IT之家  https://www.ithome.com/0/750/399.htm?sf=NaBLO%2fcNdvJUH8gDqaalnxWTMUWbuIzyi56XxfQWkED%2fotF9j0Uwpe4%2bUYHgKUI2dhsCht7TRLw%3d


來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:2024年2月05日聚銘安全速遞

下一篇:蓄勢起航,乘龍而上!2024聚銘網(wǎng)絡(luò)開工大吉