日韩精品一区二区三区第95,亚洲精品无码日韩国产不卡AV,色搞得,GOGO全球大胆高清人体网站奔

網(wǎng)絡(luò)資源 圖書資源
圖書館書目檢索 精品課程
120萬電子書 維普數(shù)據(jù)庫6.5
維普論文查重檢測 超星電子書
SCI外文期刊 讀秀
您當(dāng)前位置:保定理工學(xué)院 >> 信息技術(shù)中心 >> 網(wǎng)絡(luò)安全 >> 瀏覽文章
CCERT月報(bào):開源軟件供應(yīng)鏈安全問題引發(fā)關(guān)注
【網(wǎng)絡(luò)安全】 加入時(shí)間:2025年01月08日 信息來源:本站原創(chuàng) 作者:xjzx 訪問量:

教育網(wǎng)運(yùn)行整體平穩(wěn),沒有發(fā)現(xiàn)重大的安全事件。在病毒與木馬方面,數(shù)據(jù)顯示,2024年一季度以來,勒索病毒的攻擊數(shù)量又呈現(xiàn)增長趨勢。目前勒索病毒的產(chǎn)業(yè)模式已經(jīng)升級到RaaS(軟件即服務(wù))模式,攻擊目標(biāo)也指向那些價(jià)值更高的服務(wù)器。由于RaaS模式會(huì)大大降低勒索攻擊的門檻,后期這類攻擊也將呈現(xiàn)繼續(xù)增長的趨勢。

 近期新增嚴(yán)重漏洞評述

 

  1.微軟2024年4月的例行安全更新共包含微軟產(chǎn)品的安全漏洞152個(gè)。鑒于漏洞帶來的風(fēng)險(xiǎn),提醒用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行安全更新。這些漏洞中需要特別關(guān)注的有以下幾個(gè)。

 

  SmartScreen 提示安全功能繞過漏洞(CVE-2024-29988)。該漏洞是由于系統(tǒng)未充分實(shí)現(xiàn)“標(biāo)記網(wǎng)頁”(MotW)功能導(dǎo)致的。遠(yuǎn)程攻擊者可以構(gòu)造惡意的攻擊程序,引誘用戶點(diǎn)擊并利用該漏洞繞過SmartScreen的安全風(fēng)險(xiǎn)提示,進(jìn)而在系統(tǒng)上執(zhí)行惡意代碼。目前該漏洞已在互聯(lián)網(wǎng)上檢測到在途的攻擊。

 

  Windows代理驅(qū)動(dòng)程序漏洞(CVE-2024-26234)。該漏洞允許攻擊者使用合法的Windows硬件驅(qū)動(dòng)證書為惡意程序進(jìn)行簽名,從而使得惡意程序可以繞過安全限制在系統(tǒng)中執(zhí)行。目前該漏洞已在互聯(lián)網(wǎng)上檢測到在途的攻擊。

 

  Defender for IoT關(guān)鍵RCE漏洞(CVE-2024-21322、CVE-2024-21323、CVE-2024-29053)。上述漏洞存在于DefenderforIoT軟件中,24.1.3版本前的該軟件中包含多個(gè)高危安全漏洞,其中一個(gè)漏洞利用了該軟件的自動(dòng)更新功能,可能會(huì)導(dǎo)致惡意的更新包被安裝到系統(tǒng)上;另一個(gè)利用路徑遍歷漏洞,允許經(jīng)過身份驗(yàn)證的用戶上傳任意文件;還有一個(gè)則可以通過向系統(tǒng)發(fā)送惡意構(gòu)造的數(shù)據(jù)包來執(zhí)行任意代碼。需要關(guān)注的是,這三個(gè)漏洞都需要攻擊者擁有合法的系統(tǒng)身份后才可進(jìn)行攻擊。

 

  2.Netfilter是Linux內(nèi)核內(nèi)置的一個(gè)框架。近期有安全研究人員披露了Netfilter中存在一個(gè)權(quán)限提升漏洞(CVE-2024-1086),本地攻擊者利用此漏洞可將普通用戶權(quán)限提升至root權(quán)限。目前該漏洞的攻擊PoC(概念驗(yàn)證代碼)已經(jīng)在網(wǎng)絡(luò)上被公開,各Linux發(fā)行版本也在陸續(xù)發(fā)布補(bǔ)丁程序,建議用戶關(guān)注并及時(shí)升級。

 

  3.JumpServer是目前國內(nèi)使用較為廣泛的開源堡壘機(jī)系統(tǒng),近期JumpServer官方發(fā)布了安全公告,用于修補(bǔ)之前版本中存在的兩個(gè)安全漏洞(CVE-2024-29201和CVE-2024-29202)。前者允許較低權(quán)限的用戶繞過系統(tǒng)的驗(yàn)證機(jī)制,在系統(tǒng)上執(zhí)行任意代碼;后者則允許經(jīng)過身份證驗(yàn)證的用戶構(gòu)建惡意的laybook模板,利用Ansible中的Jinja2模板引擎在Celery容器中執(zhí)行任意代碼,并從主機(jī)中竊取敏感信息或操縱數(shù)據(jù)庫。建議用戶盡快將JumpServer升級到最新的3.10.7版本。

 

  4.Oracle公司發(fā)布了今年第二季度的安全公告,公告中涉及 Oracle WebLogicServer中存在的兩個(gè)信息泄露漏洞(CVE-2024-21006/CVE-2024-21007),由于CCERT月報(bào)T3/IIOP協(xié)議存在缺陷,未經(jīng)身份驗(yàn)證的攻擊者可通過T3/IIOP協(xié)議向受影響的服務(wù)器發(fā)送惡意請求,訪問目標(biāo)系統(tǒng)上的敏感信息。建議使用了相關(guān)組件的用戶盡快進(jìn)行升級。

 

  5.Fortinet FortiClient是美國飛塔(Fortinet)公司的一套移動(dòng)終端安全解決方案。最近飛塔公司的安全公告中提及FortiClinet Linux 客戶端軟件存在一個(gè)安全漏洞(CVE-2023-45590),惡意的攻擊者引誘用戶訪問特定的網(wǎng)頁資源即可利用該漏洞在用戶的系統(tǒng)上執(zhí)行任意命令。目前廠商已經(jīng)在最新版本中修補(bǔ)了相關(guān)漏洞,建議使用了相關(guān)產(chǎn)品的用戶盡快進(jìn)行升級。

 

  安全提示

 

  日前GitHub的comment文件上傳系統(tǒng)中被曝存在一個(gè)漏洞,用戶可以將文件上傳到指定GitHub comment中(即便該條comment并不存在),而系統(tǒng)會(huì)自動(dòng)生成下載鏈接,此鏈接包括存儲(chǔ)庫的名稱及其所有者。由于鏈接存在于GitHub的官方網(wǎng)站上,可能會(huì)誘使受害者認(rèn)為相關(guān)文件是合法的。這也再次將開源軟件供應(yīng)鏈安全問題暴露在大眾面前,學(xué)校使用的外購或自主開發(fā)軟件中或多或少都使用了開源代碼,如何保證其供應(yīng)鏈的安全將是后期學(xué)校網(wǎng)絡(luò)安全生態(tài)中重要的一環(huán)。

 

  來源:《中國教育網(wǎng)絡(luò)》

  作者:鄭先偉(中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組)

  責(zé)編:項(xiàng)陽