【一周安全资讯1007】多项信息安全国家标准10月1日起实施;GitLab发布紧急安全补丁修复高危漏洞

要闻速览

1.以下信息安全国家标准10月1日起实施
2.GitLab发布紧急安全补丁修复高危漏洞
3.主流显卡全中招!GPU.zip侧信道攻击可泄漏敏感数据
4.MOVEit漏洞导致美国900所院校学生信息发生大规模泄露
5.法国太空和国防供应商Exail遭黑客攻击,泄露大量敏感信息
6.英国王室网站因DDoS攻击而瘫痪

一周政策要闻

以下信息安全国家标准10月1日起实施

《信息安全技术 电信领域数据 安全指南》

实施日期:2023-10-01
标准编号:GB/T 42447-2023
概述/要求:本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施,及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。适用于指导电信数据处理者开展数据安全保护工作,也适用于指导第三方机构开展电信数据安全评估工作。
在这里插入图片描述
《信息安全技术 网络安全态势感知通用技术要求》

实施日期:2023-10-01
标准编号:GB/T 42453-2023
概述/要求:本文件给出了网络安全态势感知技术框架,规定了该框架中核心组件的通用技术要求本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。
在这里插入图片描述
《信息安全技术 网络安全从业人员能力基本要求》

实施日期:2023-10-01
标准编号:GB/T 42446-2023
概述/要求:本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。
在这里插入图片描述
《信息安全技术 个人信息去标识化效果评估指南》
《信息安全技术 公共域名服务系统安全要求》
《信息安全技术 网络安全服务成本度量指南》
《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》
《信息技术 安全技术 带附录的数字签名 第1部分:概述》
《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》
《信息安全技术 公钥基础设施 PKI系统安全技术要求》
《信息安全技术 公钥基础设施 PKI系统安全测评方法》
《信息安全技术 IPSec VPN安全接入基本要求与实施指南》

信息来源:粤密粤安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

业内新闻速览

GitLab发布紧急安全补丁修复高危漏洞

GitLab本周四紧急发布安全补丁,修复一个可让攻击者以其他用户身份运行管道的严重漏洞。
该漏洞编号为CVE-2023-5009(CVSS评分:9.6),影响从13.12到16.2.7以及从16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究员JohanCarlsson(又名joaxcar)发现并报告了该漏洞。
GitLab在一份公告中表示:“攻击者有可能通过预定的安全扫描策略以任意用户身份运行管道。”“该漏洞是CVE-2023-3932(GitLab于2023年8月上旬修复了该漏洞)的绕过,并显示出额外的影响。”
通过利用CVE-2023-5009,攻击者可以访问敏感信息或利用冒充用户的权限来修改源代码或在系统上运行任意代码,从而导致严重后果。
GitLab强烈建议用户尽快将已安装的GitLab更新到最新版本,以防范潜在风险。

消息来源: Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow

主流显卡全中招!GPU.zip侧信道攻击可泄漏敏感数据

近日,来自四所美国大学的研究人员针对主流显卡中的一个漏洞开发了一种新的GPU侧信道攻击,当用户访问恶意网页时,该攻击可利用GPU数据压缩技术从现代显卡中窃取敏感的视觉数据。
研究人员已经通过在Chrome浏览器上执行跨源SVG滤镜像素窃取攻击,展示了这种"GPU.zip"攻击的有效性,并2023年3月向受影响的显卡制造商披露了这一漏洞。
然而,截至2023年9月,受影响的GPU供应商(AMD、苹果、ARM、英伟达、高通)或Google(Chrome)均尚未推出漏洞补丁。
德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在论文中对该漏洞进行了详细描述,并将在第45届IEEE安全与隐私研讨会上发表。

消息来源:GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA

MOVEit漏洞导致美国900所院校学生信息发生大规模泄露

美国非营利教育组织NSC(国家学生信息交换所)近日披露,其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。
NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。
美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信,披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限,并窃取了包含大量个人信息的文件。
根据通知信内容,被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录(例如入学记录、学位记录和课程级别数据)。
美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。

消息来源:GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA

法国太空和国防供应商Exail遭黑客攻击,泄露大量敏感信息

Cybernews 研究团队发现,法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。
在这里插入图片描述
Exail于 2022 年由 ECA Group 和 iXblue 合并后成立,专注于机器人、海事、导航、航空航天和光子技术,其客户包括美国海岸警卫队。由于这些特性,Exail成为攻击者特别感兴趣的目标。
研究团队发现,托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上,导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令,因此,文件的完全开放可能会暴露关键数据,一旦攻击者访问,便可以查看、修改或删除敏感数据并执行未经授权的操作,并为攻击者者提供一系列攻击选项。
研究团队还发现,Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本,就可以针对性地利用与操作系统相关的特定漏洞。
而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性,就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。
此外,攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击,从而中断服务器的运行。
Cybernews研究团队向Exail进行反馈后,对方已经修复了该问题,但并未透露有关问题更加详细的信息。

消息来源:FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g

英国王室网站因DDoS攻击而瘫痪
据报道,英国王室官方网站周日(10月1日)因分布式拒绝服务(DDoS)攻击而离线。据《独立报》报道,从当地时间上午10点开始,Royal.uk网站大约有90分钟无法访问。尽管在撰写本文时 Cloudflare检查已经到位,以确保寻求访问该网站的IP地址不是自动机器人,但很快它就再次完全正常运行。据报道,臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责,尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为,所有组织都应确保其安全状况符合目的。DDoS攻击已成为俄罗斯黑客活动分子最喜欢的工具,因为他们希望惩罚乌克兰的盟友并获得地缘政治分数。去年10月,Killnet声称对美国十多个机场的网站发起了严重的DDoS攻击。

消息来源:网空闲话plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g

来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/99395.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MFC ExtTextOut函数学习

ExtTextOut - 扩展的文本输出; win32 api的声明如下; ExtTextOut( DC: HDC; {设备环境句柄} X, Y: Integer; {起点坐标} Options: Longint; {选项} Rect: PRect; {指定显示范围; 0 表示限制范围} Str: PChar; {字符串…

java基础 日期工具类

目录结构: DateUtils.java package dateStudy; import java.text.ParseException; import java.text.SimpleDateFormat; import java.util.Date;public class DateUtils {private static final String FORMAT_1"yyyy-MM-dd HH:mm:ss";//私有方法&#xf…

在Ubuntu中批量创建用户

一、背景知识 在Linux操作系统中创建新用户可以使用useradd或adduser命令。 使用useradd命令创建用户时,不会在/home目录下创建用户文件夹,需要用户自己指定主目录和bash目录的位置。同时,创建的用户没有设置密码,无法进行登录&a…

复旦大学EMBA王世峰:坚持科技创造与品质,铸就“中国智造”梦!

当前,新能源产业呈现持续爆发式增长趋势,2023年《政府工作报告》对汽车行业提出“扩大消费绿色发展”的指导方向。动力电池是新能源汽车核心概念,对新能源汽车的性能和品质起着决定性作用。锂离子电池在电动汽车、电动飞行器、储能等领域的应…

基于SpringBoot的精准扶贫管理系统

目录 前言 一、技术栈 二、系统功能介绍 用户信息管理 贫困户信息管理 新闻类型管理 志愿者招聘管理 志愿者招聘 留言反馈管理 贫困户 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息技术在管理上越来越深入而广泛的应用,管理信息…

JavaScript Web APIs第五天笔记

Web APIs - 第5天笔记 目标: 能够利用JS操作浏览器,具备利用本地存储实现学生就业表的能力 BOM操作综合案例 js组成 JavaScript的组成 ECMAScript: 规定了js基础语法核心知识。比如:变量、分支语句、循环语句、对象等等 Web APIs : DOM 文档对象模型&…

使用DNS查询Web服务器IP地址

浏览器并不具备访问网络的功能,其最终是通过操作系统实现的,委托操作系统访问服务器时提供的并不是浏览器里面输入的域名而是ip地址,因此第一步需要将域名转换为对应的ip地址 域名:www.baidu.com ip地址是一串数字 tcp/ip的网络结…

【Vue】vscode格式刷插件Prettier以及配置项~~保姆级教程

文章目录 前言一、下载插件二、在项目内创建配置文件1.在根目录创建,src同级2.写入配置3.每个字段含义 总结 前言 vscode格式刷,有太多插件了,但是每个的使用,换行都不一样。 这里我推荐一个很多人都推荐了的Prettier 一、下载插…

多路彩灯控制器LED流水灯花型verilog仿真图视频、源代码

名称:多路彩灯控制器LED流水灯花型verilog 软件:Quartus 语言:Verilog 代码功能: 用quartus和modelism,设计一个多路彩灯控制器,能够使花型循环变化,具有复位清零功能,并可以选择…

Flutter 打包 windows桌面端可执行文件

简单一说 因为个人兴趣爱好,在写一个跨平台工具。为了省事没去官网看文档,直接翻阅各大博客网站,一个简单的命令,博客写的内容比较复杂。为了方便自己和有需要同学,简单做一个记录。 Flutter提供了一种方便命令行的方…

【gitlab】从其他仓库创建项目

需求描述 解决方法 以renren-fast脚手架为例 第一步 第二步 第三步 第四步 参考文章

应用层协议 HTTP

一、应用层协议 我们已经学过 TCP/IP , 已然知道数据能从客户端进程经过路径选择跨网络传送到服务器端进程。 我们还需要知道的是,我们把数据从 A 端传送到 B 端, TCP/IP 解决的是顺丰的功能,而两端还要对数据进行加工处理或者使用&#xf…

python常用库之数据库orm框架之SQLAlchemy

文章目录 python常用库之数据库orm框架之SQLAlchemy一、什么是SQLAlchemySQLAlchemy 使用场景 二、SQLAlchemy使用SQLAlchemy根据模型查询SQLAlchemy SQL 格式化的方式db_session.query和 db_session.execute区别实测demo 总结:让我们留意一下SQLAlchemy 的 lazy lo…

SpringMVC的视图

文章目录 1. ThymeleafView2. 转发视图3. 重定向视图4. 视图控制器view-controller5. 总结6. 荐书 SpringMVC中的视图是View接口,视图的作用渲染数据,将模型Model中的数据展示给用户SpringMVC视图的种类很多,默认有转发视图和重定向视图 当工…

二维反射容斥:P9366

https://www.luogu.com.cn/problem/P9366 构造循环矩阵,考虑反射容斥和将军饮马 考虑二维不太好做,我们曼哈顿距离转切比雪夫距离,变成一维的情况。 由于棋盘是正方形的,所以循环长度为 2 n 4 2n4 2n4。用多项式快速幂预处理&…

Unity设计模式——原型模式

原型模式(Prototype)用原型实例指定创建对象的种类,并且通过拷贝这些原型创建新的对象。原型模式其实就是从一个对象再创建另外一个可定制的对象,而且不需知道任何创建的细节 。 原型类 Prototype: abstract class P…

十一、2023.10.5.计算机网络(end).11

文章目录 17、说说 TCP 可靠性保证?18、简述 TCP 滑动窗口以及重传机制?19、说说滑动窗口过小怎么办?20、说说如果三次握手时候每次握手信息对方没收到会怎么样,分情况介绍?21、简述 TCP 的 TIME_WAIT,为什么需要有这个状态&…

ctfshow-web5(md5弱比较)

打开题目链接是html和php代码 html没啥有用信息,这里审一下php代码 : 要求使用get方式传入两个参数 v1,v2 ctype_alpha()函数:用于检查给定的字符串是否仅包含字母; is_numeric()函数:检测字符串是否只由…

聊聊分布式架构05——[NIO基础]BIO到NIO的演进

目录 I/O I/O模型 BIO示例 BIO与NIO比较 NIO的三大核心 NIO核心之缓冲区 Buffer常用子类: Buffer常用API Buffer中的重要概念 NIO核心之通道 FileChannel 类 FileChannel常用方法 NIO核心之选择器 概述 应用 NIO非阻塞原理分析 服务端流程 客户端…

请求的转发和重定向

RequestDispatcher接口实现转发: jsp1上链接到Servlet,Servlet再转发(关键在这里怎么实现转发??) 演示index.html页面---->Servlet1(转发到)------>Servlet2 实现转发流程 1.用HttpServletReques…