要聞速覽

1、財(cái)政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

2、《寄遞服務(wù)用戶個(gè)人信息安全管理辦法（征求意見稿）》公開征求意見

3、CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報(bào)

4、佳能修補(bǔ)小型辦公打印機(jī)中的 7 個(gè)嚴(yán)重漏洞

5、用300萬(wàn)支電動(dòng)牙刷發(fā)起DDoS攻擊？假的！

6、華為提議為 Linux 內(nèi)核推出新“沙盒模式”，提高內(nèi)存安全性

一周政策要聞

財(cái)政部印發(fā)《關(guān)于加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理的通知》

財(cái)政部日前印發(fā)通知，加強(qiáng)行政事業(yè)單位數(shù)據(jù)資產(chǎn)管理，充分發(fā)揮數(shù)據(jù)資產(chǎn)價(jià)值作用。

按照通知，行政事業(yè)單位數(shù)據(jù)資產(chǎn)是指各級(jí)行政事業(yè)單位在依法履職或提供公共服務(wù)過(guò)程中持有或控制的，預(yù)期能夠產(chǎn)生管理服務(wù)潛力或帶來(lái)經(jīng)濟(jì)利益流入的數(shù)據(jù)資源。

通知明確，行政事業(yè)單位主要通過(guò)自主采集、生產(chǎn)加工、購(gòu)置等方式配置數(shù)據(jù)資產(chǎn)。加強(qiáng)數(shù)據(jù)資產(chǎn)源頭管理，在依法履職或提供公共服務(wù)過(guò)程中，應(yīng)當(dāng)按照規(guī)定的范圍、方法、技術(shù)標(biāo)準(zhǔn)等進(jìn)行自主采集、生產(chǎn)加工數(shù)據(jù)形成資產(chǎn)。通過(guò)購(gòu)置方式配置數(shù)據(jù)資產(chǎn)的，應(yīng)當(dāng)根據(jù)依法履職和事業(yè)發(fā)展需要，落實(shí)過(guò)緊日子要求，按照預(yù)算管理規(guī)定科學(xué)配置，涉及政府采購(gòu)的應(yīng)當(dāng)執(zhí)行政府采購(gòu)有關(guān)規(guī)定。

在開放共享方面，通知提出，在確保公共安全和保護(hù)個(gè)人隱私的前提下，加強(qiáng)數(shù)據(jù)資產(chǎn)匯聚共享和開發(fā)開放，促進(jìn)數(shù)據(jù)資產(chǎn)使用價(jià)值充分利用。加大數(shù)據(jù)資產(chǎn)供給使用，推動(dòng)用于公共治理、公益事業(yè)的數(shù)據(jù)資產(chǎn)有條件無(wú)償使用，探索用于產(chǎn)業(yè)發(fā)展、行業(yè)發(fā)展的數(shù)據(jù)資產(chǎn)有條件有償使用。依法依規(guī)予以保密的數(shù)據(jù)資產(chǎn)不予開放，開放共享進(jìn)入市場(chǎng)的數(shù)據(jù)資產(chǎn)應(yīng)當(dāng)明確授權(quán)使用范圍，并嚴(yán)格授權(quán)使用。

通知強(qiáng)調(diào)，要建立合理的數(shù)據(jù)資產(chǎn)收益分配機(jī)制，依法依規(guī)維護(hù)數(shù)據(jù)資產(chǎn)權(quán)益。行政單位數(shù)據(jù)資產(chǎn)使用形成的收入，按照政府非稅收入和國(guó)庫(kù)集中收繳制度的有關(guān)規(guī)定管理。事業(yè)單位數(shù)據(jù)資產(chǎn)使用形成的收入，由本級(jí)財(cái)政部門規(guī)定具體管理辦法。除國(guó)家另有規(guī)定外，行政事業(yè)單位數(shù)據(jù)資產(chǎn)的處置收入按照政府非稅收入和國(guó)庫(kù)集中收繳制度的有關(guān)規(guī)定管理。任何行政事業(yè)單位及個(gè)人不得違反國(guó)家規(guī)定，多收、少收、不收、少繳、不繳、侵占、私分、截留、占用、挪用、隱匿、坐支數(shù)據(jù)資產(chǎn)相關(guān)收入。

此外，通知還指出，要嚴(yán)格防控風(fēng)險(xiǎn)，確保數(shù)據(jù)安全。建立數(shù)據(jù)資產(chǎn)安全管理制度和監(jiān)測(cè)預(yù)警、應(yīng)急處置機(jī)制，推進(jìn)數(shù)據(jù)資產(chǎn)分類分級(jí)管理，把安全貫穿數(shù)據(jù)資產(chǎn)全生命周期管理，有效防范和化解各類數(shù)據(jù)資產(chǎn)安全風(fēng)險(xiǎn)，切實(shí)筑牢數(shù)據(jù)資產(chǎn)安全保障防線。

信息來(lái)源：中華人民共和國(guó)財(cái)政部https://www.mof.gov.cn/jrttts/202402/t20240208_3928613.htm

《寄遞服務(wù)用戶個(gè)人信息安全管理辦法（征求意見稿）》公開征求意見

為貫徹《中華人民共和國(guó)郵政法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《快遞暫行條例》等法律法規(guī)，保護(hù)寄遞服務(wù)用戶個(gè)人信息權(quán)益，規(guī)范寄遞企業(yè)用戶個(gè)人信息處理活動(dòng)，國(guó)家郵政局日前起草了《寄遞服務(wù)用戶個(gè)人信息安全管理辦法（征求意見稿）》（以下簡(jiǎn)稱“管理辦法”），現(xiàn)向社會(huì)公開征求意見。

現(xiàn)將該管理辦法征求意見稿面向社會(huì)公開征求意見，如有意見或建議請(qǐng)于2024年3月2日前反饋。

信息來(lái)源：中華人民共和國(guó)國(guó)家郵政局  https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229.shtml

業(yè)內(nèi)新聞速覽

CNNVD關(guān)于Oracle WebLogic Server安全漏洞的通報(bào)

近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Oracle WebLogic Server安全漏洞（CNNVD-202401-1680、CVE-2024-20931）情況的報(bào)送。攻擊者可利用T3、IIOP協(xié)議對(duì)目標(biāo)系統(tǒng)進(jìn)行破壞，進(jìn)而接管服務(wù)器。Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。目前，Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

一、漏洞介紹

Oracle WebLogic Server是美國(guó)甲骨文（Oracle）公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件，它提供了一個(gè)現(xiàn)代輕型開發(fā)平臺(tái)，支持應(yīng)用從開發(fā)到生產(chǎn)的整個(gè)生命周期管理，并簡(jiǎn)化了應(yīng)用的部署和管理。

Oracle WebLogic Server存在安全漏洞。攻擊者可利用T3、IIOP協(xié)議對(duì)目標(biāo)系統(tǒng)進(jìn)行破壞，進(jìn)而接管服務(wù)器。

二、危害影響

Oracle Fusion Middleware 12.2.1.4.0版本、Oracle Fusion Middleware 14.1.1.0.0版本均受此漏洞影響。

三、修復(fù)建議

目前，Oracle官方已發(fā)布漏洞補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

官方參考鏈接：https://www.oracle.com/security-alerts/cpuapr2023.html。

消息來(lái)源：國(guó)家信息安全漏洞庫(kù)  https://www.cnnvd.org.cn/home/warn

佳能修補(bǔ)小型辦公打印機(jī)中的 7 個(gè)嚴(yán)重漏洞

日本電子產(chǎn)品制造商佳能近日宣布了軟件更新，修復(fù)了影響幾種小型辦公打印機(jī)型號(hào)的七個(gè)嚴(yán)重漏洞。

這些被描述為緩沖區(qū)溢出錯(cuò)誤的問(wèn)題可以通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程代碼執(zhí)行 (RCE) 或?qū)е乱资芄舻漠a(chǎn)品變得無(wú)響應(yīng)。“這些漏洞表明，如果產(chǎn)品不使用路由器（有線或 Wi-Fi）直接連接到互聯(lián)網(wǎng)，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能能夠執(zhí)行任意代碼和/或能夠瞄準(zhǔn)該產(chǎn)品在通過(guò)互聯(lián)網(wǎng)的拒絕服務(wù) (DoS) 攻擊中，”佳能指出。這些缺陷被追蹤為 CVE-2023-6229 到 CVE-2023-6234 和 CVE-2024-0244。根據(jù)日本漏洞信息門戶網(wǎng)站JVN 的數(shù)據(jù)，他們的 CVSS 得分為 9.8。NIST 公告顯示，這些缺陷是在 CPCA PDL 資源下載過(guò)程、地址簿密碼過(guò)程、WSD 探測(cè)請(qǐng)求過(guò)程、地址簿用戶名過(guò)程、SLP 屬性請(qǐng)求過(guò)程、CPCA 顏色 LUT 資源下載過(guò)程和 CPCA PCFAX 號(hào)碼等組件中發(fā)現(xiàn)的。易受攻擊的打印機(jī)型號(hào)因地區(qū)而異：歐洲為 i-SENSYS LBP673Cdw、MF752Cdw、MF754Cdw、C1333i、C1333iF 和 C1333P 系列，北美為 imageCLASS MF753CDW、MF751CDW、MF1333C、LBP674CDW 和 LBP1333C 系列；以及日本的 Satera LBP670C 和 MF750C 系列。不過(guò)，對(duì)于所有型號(hào)，這些漏洞都會(huì)影響固件版本 03.07 及更早版本?？梢栽诩涯艿牡貐^(qū)網(wǎng)站上找到解決這些錯(cuò)誤的更新。“目前還沒(méi)有關(guān)于這些漏洞被利用的報(bào)告。然而，為了增強(qiáng)產(chǎn)品的安全性，我們建議客戶安裝適用于受影響型號(hào)的最新固件，”佳能在其歐洲支持網(wǎng)站上表示。鑒于上述漏洞可以被遠(yuǎn)程利用，我們還建議客戶限制對(duì)打印機(jī)的訪問(wèn)，將它們隱藏在防火墻或路由器后面，并為其設(shè)置私有 IP 地址。

消息來(lái)源：安全客  https://www.anquanke.com/post/id/293193

用300萬(wàn)支電動(dòng)牙刷發(fā)起DDoS攻擊？假的！

近日國(guó)外“300萬(wàn)支電動(dòng)牙刷被用于DDoS攻擊”的安全事件引發(fā)廣泛討論。國(guó)外媒體發(fā)文稱“300萬(wàn)支電動(dòng)牙刷被黑客用惡意軟件感染，以執(zhí)行分布式拒絕服務(wù)（DDoS）攻擊。”經(jīng)Fortinet與媒體確認(rèn)，這是一起虛假的新聞。
日前，瑞士新聞網(wǎng)站Aargauer Zeitung發(fā)表了一篇報(bào)道，稱網(wǎng)絡(luò)安全公司Fortinet的一名員工表示，300萬(wàn)支電動(dòng)牙刷被Java惡意軟件感染，用來(lái)對(duì)一家瑞士公司進(jìn)行DDoS攻擊。文章中寫道：“電動(dòng)牙刷用Java編程，攻擊者們悄無(wú)聲息地在其上安裝了惡意軟件——就像在其他300萬(wàn)支牙刷上所做的那樣。只需一個(gè)命令，這些遠(yuǎn)程控制的牙刷同時(shí)訪問(wèn)一家瑞士公司的網(wǎng)站，導(dǎo)致網(wǎng)站崩潰，癱瘓了四個(gè)小時(shí)，造成了數(shù)百萬(wàn)美元的損失?！比绻麥?zhǔn)確無(wú)誤，這個(gè)故事無(wú)疑是戲劇性，且值得新聞報(bào)道。從2月7日開始，該新聞在其他科技新聞網(wǎng)站上迅速傳播，許多出版物在未經(jīng)證實(shí)的情況下報(bào)道了這次所謂的攻擊。然而，這個(gè)故事有一個(gè)問(wèn)題——沒(méi)有記錄表明這次攻擊確實(shí)發(fā)生過(guò)。被認(rèn)為是文章消息來(lái)源的Fortinet沒(méi)有發(fā)布關(guān)于這次攻擊的任何信息，自從“牙刷僵尸網(wǎng)絡(luò)”故事昨天病毒式傳播以來(lái)，也沒(méi)有回應(yīng)媒體的評(píng)論請(qǐng)求。DDoS攻擊是指攻擊者向網(wǎng)站發(fā)送足夠多的請(qǐng)求或數(shù)據(jù)，以壓倒其資源或帶寬，使其無(wú)法再接受合法訪問(wèn)者的請(qǐng)求，有效地使網(wǎng)站無(wú)法使用。這種類型的攻擊越來(lái)越多地被黑客活動(dòng)分子用于抗議一個(gè)國(guó)家或商業(yè)活動(dòng)，或被威脅行為者用來(lái)勒索企業(yè)。為了執(zhí)行這些攻擊，路由器、服務(wù)器和物聯(lián)網(wǎng)設(shè)備通過(guò)暴力破解或使用默認(rèn)密碼，或者利用漏洞被黑客入侵。一旦設(shè)備受到侵害，就會(huì)安裝惡意軟件將其列為DDoS僵尸網(wǎng)絡(luò)的一部分，并使用它進(jìn)行攻擊。這些設(shè)備然后被集體用于對(duì)特定目標(biāo)發(fā)起強(qiáng)大的攻擊。根據(jù)Statista的數(shù)據(jù)，預(yù)計(jì)到2024年底將有約170億個(gè)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，提供了一個(gè)巨大的潛在設(shè)備足跡，這些設(shè)備可能被招募到DDoS僵尸網(wǎng)絡(luò)中。300萬(wàn)支電動(dòng)牙刷被暴露在互聯(lián)網(wǎng)上，從而被惡意軟件感染的可能性是值得懷疑的。相反，這很可能是Fortinet與該報(bào)紙分享的一個(gè)假設(shè)性場(chǎng)景，被誤解或脫離上下文，創(chuàng)造了一個(gè)被安全專家廣泛質(zhì)疑的故事。此外，電動(dòng)牙刷并不直接連接到互聯(lián)網(wǎng)，而是通過(guò)藍(lán)牙連接到移動(dòng)應(yīng)用程序，然后將您的數(shù)據(jù)上傳到基于網(wǎng)絡(luò)的平臺(tái)。這意味著，像這樣的大規(guī)模黑客攻擊只能通過(guò)對(duì)供應(yīng)鏈的攻擊來(lái)實(shí)現(xiàn)，這種攻擊會(huì)將惡意固件推送到設(shè)備上。沒(méi)有記錄顯示這種情況發(fā)生過(guò)。如果真的發(fā)生了，那將是一個(gè)比DDoS攻擊更大的新聞。盡管有關(guān)牙刷DDoS僵尸網(wǎng)絡(luò)攻擊網(wǎng)站的故事聽起來(lái)很有趣，但它仍然是一個(gè)很好的提醒，說(shuō)明攻擊者會(huì)針對(duì)任何暴露在互聯(lián)網(wǎng)上的設(shè)備。這包括路由器、服務(wù)器、可編程邏輯控制器（PLC）、打印機(jī)和網(wǎng)絡(luò)攝像頭。對(duì)于任何暴露在互聯(lián)網(wǎng)上的設(shè)備來(lái)說(shuō)，安裝最新的安全更新和設(shè)置強(qiáng)密碼是至關(guān)重要的，以防止它們被招募到DDoS僵尸網(wǎng)絡(luò)中。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/391819.html

華為提議為 Linux 內(nèi)核推出新“沙盒模式”，提高內(nèi)存安全性

IT之家2月15日消息，雖然 Linux 內(nèi)核已經(jīng)在嘗試 Rust 編程來(lái)提高內(nèi)存安全性，但華為開發(fā)者近日提出了一項(xiàng)針對(duì) Linux 內(nèi)核新“沙盒模式”的提案，提高內(nèi)核中 C 語(yǔ)言代碼的內(nèi)存安全性。。

Linux 郵件顯示，華為云的 Petr Tesarik 發(fā)出了有關(guān)新沙盒模式的“征求意見”補(bǔ)丁系列，Petr 將沙盒模式描述為：

沙盒模式的最終目標(biāo)是在僅允許內(nèi)存訪問(wèn)預(yù)定義地址的環(huán)境中執(zhí)行本機(jī)內(nèi)核代碼，因此潛在的漏洞無(wú)法被利用或不會(huì)對(duì)內(nèi)核的其余部分產(chǎn)生影響。該補(bǔ)丁系列向內(nèi)核添加了沙盒模式的 API 和獨(dú)立于架構(gòu)的基礎(chǔ)設(shè)施。它在所有輸入和輸出數(shù)據(jù)的 vmalloc () 副本上運(yùn)行目標(biāo)函數(shù)。由于保護(hù)頁(yè)面，僅此一項(xiàng)就可以防止一些越界訪問(wèn)。
根據(jù)文檔的描述，沙盒模式的主要目標(biāo)是通過(guò)分解內(nèi)核來(lái)減少內(nèi)核代碼中潛在內(nèi)存安全錯(cuò)誤的影響。SBM API 支持在隔離的執(zhí)行環(huán)境中運(yùn)行每個(gè)組件，特別是用作輸入的內(nèi)存區(qū)域和 / 或輸出與內(nèi)核的其余部分隔離，并被保護(hù)頁(yè)包圍。在實(shí)現(xiàn)必要的 arch hook 的架構(gòu)上，沙盒模式利用硬件分頁(yè)設(shè)施和 CPU 特權(quán)級(jí)別來(lái)強(qiáng)制僅使用這些預(yù)定義的內(nèi)存區(qū)域。有了 arch 的支持，SBM 還可以從 protection violation 進(jìn)行恢復(fù)。這意味著 SBM 可強(qiáng)制終止沙盒，并向調(diào)用者返回錯(cuò)誤代碼（例如 -EFAULT），以便執(zhí)行可以繼續(xù)。這種實(shí)現(xiàn)提供了強(qiáng)隔離機(jī)制。

消息來(lái)源：IT之家  https://www.ithome.com/0/750/399.htm?sf=NaBLO%2fcNdvJUH8gDqaalnxWTMUWbuIzyi56XxfQWkED%2fotF9j0Uwpe4%2bUYHgKUI2dhsCht7TRLw%3d

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！