日韩精品一区二区三区第95,超碰97人人模人人爽人人爱,天堂俺去俺来也www色官网,被老头玩弄邻居人妻中文字幕

網(wǎng)絡(luò)資源 圖書(shū)資源
圖書(shū)館書(shū)目檢索 精品課程
120萬(wàn)電子書(shū) 維普數(shù)據(jù)庫(kù)6.5
維普論文查重檢測(cè) 超星電子書(shū)
SCI外文期刊 讀秀
您當(dāng)前位置:保定理工學(xué)院 >> 信息技術(shù)中心 >> 網(wǎng)絡(luò)安全 >> 瀏覽文章
CCERT月報(bào):開(kāi)源軟件供應(yīng)鏈安全問(wèn)題引發(fā)關(guān)注
【網(wǎng)絡(luò)安全】 加入時(shí)間:2025年01月08日 信息來(lái)源:本站原創(chuàng) 作者:xjzx 訪(fǎng)問(wèn)量:

教育網(wǎng)運(yùn)行整體平穩(wěn),沒(méi)有發(fā)現(xiàn)重大的安全事件。在病毒與木馬方面,數(shù)據(jù)顯示,2024年一季度以來(lái),勒索病毒的攻擊數(shù)量又呈現(xiàn)增長(zhǎng)趨勢(shì)。目前勒索病毒的產(chǎn)業(yè)模式已經(jīng)升級(jí)到RaaS(軟件即服務(wù))模式,攻擊目標(biāo)也指向那些價(jià)值更高的服務(wù)器。由于RaaS模式會(huì)大大降低勒索攻擊的門(mén)檻,后期這類(lèi)攻擊也將呈現(xiàn)繼續(xù)增長(zhǎng)的趨勢(shì)。

 近期新增嚴(yán)重漏洞評(píng)述

 

  1.微軟2024年4月的例行安全更新共包含微軟產(chǎn)品的安全漏洞152個(gè)。鑒于漏洞帶來(lái)的風(fēng)險(xiǎn),提醒用戶(hù)盡快使用系統(tǒng)自帶的更新功能進(jìn)行安全更新。這些漏洞中需要特別關(guān)注的有以下幾個(gè)。

 

  SmartScreen 提示安全功能繞過(guò)漏洞(CVE-2024-29988)。該漏洞是由于系統(tǒng)未充分實(shí)現(xiàn)“標(biāo)記網(wǎng)頁(yè)”(MotW)功能導(dǎo)致的。遠(yuǎn)程攻擊者可以構(gòu)造惡意的攻擊程序,引誘用戶(hù)點(diǎn)擊并利用該漏洞繞過(guò)SmartScreen的安全風(fēng)險(xiǎn)提示,進(jìn)而在系統(tǒng)上執(zhí)行惡意代碼。目前該漏洞已在互聯(lián)網(wǎng)上檢測(cè)到在途的攻擊。

 

  Windows代理驅(qū)動(dòng)程序漏洞(CVE-2024-26234)。該漏洞允許攻擊者使用合法的Windows硬件驅(qū)動(dòng)證書(shū)為惡意程序進(jìn)行簽名,從而使得惡意程序可以繞過(guò)安全限制在系統(tǒng)中執(zhí)行。目前該漏洞已在互聯(lián)網(wǎng)上檢測(cè)到在途的攻擊。

 

  Defender for IoT關(guān)鍵RCE漏洞(CVE-2024-21322、CVE-2024-21323、CVE-2024-29053)。上述漏洞存在于DefenderforIoT軟件中,24.1.3版本前的該軟件中包含多個(gè)高危安全漏洞,其中一個(gè)漏洞利用了該軟件的自動(dòng)更新功能,可能會(huì)導(dǎo)致惡意的更新包被安裝到系統(tǒng)上;另一個(gè)利用路徑遍歷漏洞,允許經(jīng)過(guò)身份驗(yàn)證的用戶(hù)上傳任意文件;還有一個(gè)則可以通過(guò)向系統(tǒng)發(fā)送惡意構(gòu)造的數(shù)據(jù)包來(lái)執(zhí)行任意代碼。需要關(guān)注的是,這三個(gè)漏洞都需要攻擊者擁有合法的系統(tǒng)身份后才可進(jìn)行攻擊。

 

  2.Netfilter是Linux內(nèi)核內(nèi)置的一個(gè)框架。近期有安全研究人員披露了Netfilter中存在一個(gè)權(quán)限提升漏洞(CVE-2024-1086),本地攻擊者利用此漏洞可將普通用戶(hù)權(quán)限提升至root權(quán)限。目前該漏洞的攻擊PoC(概念驗(yàn)證代碼)已經(jīng)在網(wǎng)絡(luò)上被公開(kāi),各Linux發(fā)行版本也在陸續(xù)發(fā)布補(bǔ)丁程序,建議用戶(hù)關(guān)注并及時(shí)升級(jí)。

 

  3.JumpServer是目前國(guó)內(nèi)使用較為廣泛的開(kāi)源堡壘機(jī)系統(tǒng),近期JumpServer官方發(fā)布了安全公告,用于修補(bǔ)之前版本中存在的兩個(gè)安全漏洞(CVE-2024-29201和CVE-2024-29202)。前者允許較低權(quán)限的用戶(hù)繞過(guò)系統(tǒng)的驗(yàn)證機(jī)制,在系統(tǒng)上執(zhí)行任意代碼;后者則允許經(jīng)過(guò)身份證驗(yàn)證的用戶(hù)構(gòu)建惡意的laybook模板,利用Ansible中的Jinja2模板引擎在Celery容器中執(zhí)行任意代碼,并從主機(jī)中竊取敏感信息或操縱數(shù)據(jù)庫(kù)。建議用戶(hù)盡快將JumpServer升級(jí)到最新的3.10.7版本。

 

  4.Oracle公司發(fā)布了今年第二季度的安全公告,公告中涉及 Oracle WebLogicServer中存在的兩個(gè)信息泄露漏洞(CVE-2024-21006/CVE-2024-21007),由于CCERT月報(bào)T3/IIOP協(xié)議存在缺陷,未經(jīng)身份驗(yàn)證的攻擊者可通過(guò)T3/IIOP協(xié)議向受影響的服務(wù)器發(fā)送惡意請(qǐng)求,訪(fǎng)問(wèn)目標(biāo)系統(tǒng)上的敏感信息。建議使用了相關(guān)組件的用戶(hù)盡快進(jìn)行升級(jí)。

 

  5.Fortinet FortiClient是美國(guó)飛塔(Fortinet)公司的一套移動(dòng)終端安全解決方案。最近飛塔公司的安全公告中提及FortiClinet Linux 客戶(hù)端軟件存在一個(gè)安全漏洞(CVE-2023-45590),惡意的攻擊者引誘用戶(hù)訪(fǎng)問(wèn)特定的網(wǎng)頁(yè)資源即可利用該漏洞在用戶(hù)的系統(tǒng)上執(zhí)行任意命令。目前廠(chǎng)商已經(jīng)在最新版本中修補(bǔ)了相關(guān)漏洞,建議使用了相關(guān)產(chǎn)品的用戶(hù)盡快進(jìn)行升級(jí)。

 

  安全提示

 

  日前GitHub的comment文件上傳系統(tǒng)中被曝存在一個(gè)漏洞,用戶(hù)可以將文件上傳到指定GitHub comment中(即便該條comment并不存在),而系統(tǒng)會(huì)自動(dòng)生成下載鏈接,此鏈接包括存儲(chǔ)庫(kù)的名稱(chēng)及其所有者。由于鏈接存在于GitHub的官方網(wǎng)站上,可能會(huì)誘使受害者認(rèn)為相關(guān)文件是合法的。這也再次將開(kāi)源軟件供應(yīng)鏈安全問(wèn)題暴露在大眾面前,學(xué)校使用的外購(gòu)或自主開(kāi)發(fā)軟件中或多或少都使用了開(kāi)源代碼,如何保證其供應(yīng)鏈的安全將是后期學(xué)校網(wǎng)絡(luò)安全生態(tài)中重要的一環(huán)。

 

  來(lái)源:《中國(guó)教育網(wǎng)絡(luò)》

  作者:鄭先偉(中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組)

  責(zé)編:項(xiàng)陽(yáng)