【一周安全资讯1007】多项信息安全国家标准10月1日起实施;GitLab发布紧急安全补丁修复高危漏洞

要闻速览

1.以下信息安全国家标准10月1日起实施
2.GitLab发布紧急安全补丁修复高危漏洞
3.主流显卡全中招!GPU.zip侧信道攻击可泄漏敏感数据
4.MOVEit漏洞导致美国900所院校学生信息发生大规模泄露
5.法国太空和国防供应商Exail遭黑客攻击,泄露大量敏感信息
6.英国王室网站因DDoS攻击而瘫痪

一周政策要闻

以下信息安全国家标准10月1日起实施

《信息安全技术 电信领域数据 安全指南》

实施日期:2023-10-01
标准编号:GB/T 42447-2023
概述/要求:本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施,及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。适用于指导电信数据处理者开展数据安全保护工作,也适用于指导第三方机构开展电信数据安全评估工作。
在这里插入图片描述
《信息安全技术 网络安全态势感知通用技术要求》

实施日期:2023-10-01
标准编号:GB/T 42453-2023
概述/要求:本文件给出了网络安全态势感知技术框架,规定了该框架中核心组件的通用技术要求本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。
在这里插入图片描述
《信息安全技术 网络安全从业人员能力基本要求》

实施日期:2023-10-01
标准编号:GB/T 42446-2023
概述/要求:本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。
在这里插入图片描述
《信息安全技术 个人信息去标识化效果评估指南》
《信息安全技术 公共域名服务系统安全要求》
《信息安全技术 网络安全服务成本度量指南》
《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》
《信息技术 安全技术 带附录的数字签名 第1部分:概述》
《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》
《信息安全技术 公钥基础设施 PKI系统安全技术要求》
《信息安全技术 公钥基础设施 PKI系统安全测评方法》
《信息安全技术 IPSec VPN安全接入基本要求与实施指南》

信息来源:粤密粤安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

业内新闻速览

GitLab发布紧急安全补丁修复高危漏洞

GitLab本周四紧急发布安全补丁,修复一个可让攻击者以其他用户身份运行管道的严重漏洞。
该漏洞编号为CVE-2023-5009(CVSS评分:9.6),影响从13.12到16.2.7以及从16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究员JohanCarlsson(又名joaxcar)发现并报告了该漏洞。
GitLab在一份公告中表示:“攻击者有可能通过预定的安全扫描策略以任意用户身份运行管道。”“该漏洞是CVE-2023-3932(GitLab于2023年8月上旬修复了该漏洞)的绕过,并显示出额外的影响。”
通过利用CVE-2023-5009,攻击者可以访问敏感信息或利用冒充用户的权限来修改源代码或在系统上运行任意代码,从而导致严重后果。
GitLab强烈建议用户尽快将已安装的GitLab更新到最新版本,以防范潜在风险。

消息来源: Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow

主流显卡全中招!GPU.zip侧信道攻击可泄漏敏感数据

近日,来自四所美国大学的研究人员针对主流显卡中的一个漏洞开发了一种新的GPU侧信道攻击,当用户访问恶意网页时,该攻击可利用GPU数据压缩技术从现代显卡中窃取敏感的视觉数据。
研究人员已经通过在Chrome浏览器上执行跨源SVG滤镜像素窃取攻击,展示了这种"GPU.zip"攻击的有效性,并2023年3月向受影响的显卡制造商披露了这一漏洞。
然而,截至2023年9月,受影响的GPU供应商(AMD、苹果、ARM、英伟达、高通)或Google(Chrome)均尚未推出漏洞补丁。
德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在论文中对该漏洞进行了详细描述,并将在第45届IEEE安全与隐私研讨会上发表。

消息来源:GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA

MOVEit漏洞导致美国900所院校学生信息发生大规模泄露

美国非营利教育组织NSC(国家学生信息交换所)近日披露,其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。
NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。
美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信,披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限,并窃取了包含大量个人信息的文件。
根据通知信内容,被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录(例如入学记录、学位记录和课程级别数据)。
美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。

消息来源:GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA

法国太空和国防供应商Exail遭黑客攻击,泄露大量敏感信息

Cybernews 研究团队发现,法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。
在这里插入图片描述
Exail于 2022 年由 ECA Group 和 iXblue 合并后成立,专注于机器人、海事、导航、航空航天和光子技术,其客户包括美国海岸警卫队。由于这些特性,Exail成为攻击者特别感兴趣的目标。
研究团队发现,托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上,导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令,因此,文件的完全开放可能会暴露关键数据,一旦攻击者访问,便可以查看、修改或删除敏感数据并执行未经授权的操作,并为攻击者者提供一系列攻击选项。
研究团队还发现,Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本,就可以针对性地利用与操作系统相关的特定漏洞。
而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性,就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。
此外,攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击,从而中断服务器的运行。
Cybernews研究团队向Exail进行反馈后,对方已经修复了该问题,但并未透露有关问题更加详细的信息。

消息来源:FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g

英国王室网站因DDoS攻击而瘫痪
据报道,英国王室官方网站周日(10月1日)因分布式拒绝服务(DDoS)攻击而离线。据《独立报》报道,从当地时间上午10点开始,Royal.uk网站大约有90分钟无法访问。尽管在撰写本文时 Cloudflare检查已经到位,以确保寻求访问该网站的IP地址不是自动机器人,但很快它就再次完全正常运行。据报道,臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责,尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为,所有组织都应确保其安全状况符合目的。DDoS攻击已成为俄罗斯黑客活动分子最喜欢的工具,因为他们希望惩罚乌克兰的盟友并获得地缘政治分数。去年10月,Killnet声称对美国十多个机场的网站发起了严重的DDoS攻击。

消息来源:网空闲话plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g

来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/152384.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

三模块七电平级联H桥整流器电压平衡控制策略Simulink仿真

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

竞赛选题 深度学习 YOLO 实现车牌识别算法

文章目录 0 前言1 课题介绍2 算法简介2.1网络架构 3 数据准备4 模型训练5 实现效果5.1 图片识别效果5.2视频识别效果 6 部分关键代码7 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 基于yolov5的深度学习车牌识别系统实现 该项目较…

Linux虚拟机克隆之后使用ip addr无法获取ip地址

Linux虚拟机克隆之后使用ip addr无法获取ip地址 因为克隆得到的虚拟机,与原先的linux系统是一模一样的包括MAC地址和IP地址。需要修改信息。 设置IP地址: 使用vi命令打开linux的网卡 //ifcfg-enth0是虚拟网卡的名称,如果你的不叫这个名字&a…

[数据结构]迷宫问题求解

目录 数据结构——迷宫问题求解&#xff1a;&#xff1a; 1.迷宫问题 2.迷宫最短路径问题 数据结构——迷宫问题求解&#xff1a;&#xff1a; 1.迷宫问题 #include <stdio.h> #include <string.h> #include <stdlib.h> #include <assert.h> #includ…

拼多多API接口的使用方针如下:

了解拼多多API接口 拼多多API接口是拼多多网提供的一种应用程序接口&#xff0c;允许开发者通过程序访问拼多多网站的数据和功能。通过拼多多API接口&#xff0c;开发者可以开发各种应用程序&#xff0c;如店铺管理工具、数据分析工具、购物比价工具等。在本章中&#xff0c;我…

1.6 IntelliJ IDEA开发工具

前言&#xff1a; ### 1.6 IntelliJ IDEA开发工具笔记 - **背景**&#xff1a; - 使用基础文本编辑器如记事本编写Java代码虽然可行&#xff0c;但存在效率低下且难以调试的问题。 - 集成开发环境 (IDE) 可以有效地提高Java程序的开发效率。 - **常见Java IDE**&#xf…

基于springboot实现自习室预订系统的设计与实现项目【项目源码+论文说明】

基于springboot实现自习室预订系统的设计与实现演示 摘要 在网络高速发展的时代&#xff0c;众多的软件被开发出来&#xff0c;给学生带来了很大的选择余地&#xff0c;而且人们越来越追求更个性的需求。在这种时代背景下&#xff0c;学院只能以学生为导向&#xff0c;所以自习…

C# 通过winmm枚举音频设备

文章目录 前言一、如何实现&#xff1f;1、添加依赖&#xff08;1&#xff09;、nuget安装winmm的封装库&#xff08;2&#xff09;、补充接口2、定义实体3、实现枚举 二、完整代码三、使用示例总结 前言 使用C#做音频录制时需要获取音频设备信息&#xff0c;比如使用ffmpeg进…

R | R包默认安装路径的查看及修改

R | R包默认安装路径的查看及修改 一、R包安装位置查看二、已安装R包查询三、R包安装位置修改四、R包安装位置永久修改 在【R: R package安装的几种方式】【R: R版本更新及R包迁移&#xff08;详细步骤&#xff09;】两篇文章中介绍过R包的常见安装方式&#xff0c;以及在不同R…

STM32实战项目——WIFI远程开关灯

前言 其实WIFI开关灯在几个月前就想做了&#xff0c;但是对于没有云平台调试经验的我&#xff0c;一开始有些摸不着头脑&#xff0c;所以就搁置了。十一假期与老同学聊天时了解到他也在做一个远程开关灯的小项目&#xff0c;所以就重新开始了WIFI远程开关灯的小项目。 本文使用…

学习Consul中踩过的坑

一、杀不死的consul 通过mac的homebrew安装了consul以后&#xff0c;手动启动consul报8300端口已被占用&#xff0c;通过lsof -i:8300和lsof -i:8500查看端口占用情况&#xff0c;发现consul已经启动了。然后手动kill -9对应的进程id&#xff0c;再启动consul&#xff0c;还是…

ChatGPT私有数据结合有什么效果?它难吗?

ChatGPT的出现可谓是惊艳了全世界&#xff0c;ChatGPT的问答能力通过了图灵测试&#xff0c;使其回答问题的方式与人类几乎无法区分。大家不甘于只在官方的对话页面问答&#xff0c;想利用 GPT 模型的自然语言能力结合私有数据开拓更多的应用场景。 | ChatGPT私有数据结合特点 …

[Java] 服务端消息推送汇总

前言&#xff1a;当构建实时消息推送功能时&#xff0c;选择适合的方案对于开发高效的实时应用至关重要。消息的推送无非就推、拉两种数据模型。本文将介绍四种常见的消息实时推送方案&#xff1a;短轮询&#xff08;拉&#xff09;、长轮训&#xff08;拉&#xff09;、SSE&am…

c++视觉处理---高斯滤波

高斯滤波处理 高斯滤波是一种常用的平滑滤波方法&#xff0c;它使用高斯函数的权重来平滑图像。高斯滤波通常用于去除噪声并保留图像中的细节。在OpenCV中&#xff0c;可以使用cv::GaussianBlur()函数来应用高斯滤波。 以下是cv::GaussianBlur()函数的基本用法&#xff1a; …

vue实现echarts中 9种 折线图图例

let datas [{ DivideScore: 7, UserScore: 7.2, Name: 目标制定 },{ DivideScore: 7, UserScore: 7, Name: 具体性 },{ DivideScore: 7, UserScore: 7.5, Name: 可衡量性 },{ DivideScore: 7, UserScore: 7, Name: 可实现性 },{ DivideScore: 7, UserScore: 7, Name: 时间限定…

简单强大的时序图绘制工具

今天分享一个简单强大的时序图绘制工具——WaveDrom。 WaveDrom Digital Timing Diagram everywhere WaveDrom draws your Timing Diagram or Waveform from simple textual description. It comes with description language, rendering engine and the editor. WaveDrom edi…

基于Springboot实现房屋租赁租房平台系统项目【项目源码+论文说明】

基于Springboot实现房屋租赁租房平台系统演示 摘要 在网络高速发展的时代&#xff0c;众多的软件被开发出来&#xff0c;给用户带来了很大的选择余地&#xff0c;而且人们越来越追求更个性的需求。在这种时代背景下&#xff0c;房东只能以用户为导向&#xff0c;所以开发租房网…

MongoDB-介绍与安装部署

介绍与安装部署 1.MongoDB简介a) 体系结构b) 数据模型c) MongoDB的特点c.1) 高性能c.2) 高性可用性c.3) 高拓展性c.4) 丰富的查询支持 2.单机部署a) Windows系统中的安装启动b) Shell连接(mongo命令)c) Linux系统中的安装启动和连接 1.MongoDB简介 MongoDB是一个开源、高性能、…

【网络安全入门】学习网络安全必须知道的100 个网络基础知识

前言 话不多说&#xff0c;完整的资料已经上传至CSDN官方&#xff0c;需要的可以点击链接自取【282G】网络安全&黑客技术零基础到进阶全套学习大礼包&#xff0c;免费分享&#xff01; 1 什么是链接? 链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备…

k8s containerd查看镜像

直接查看crictl image会报错&#xff1a; 1) crictl config runtime-endpoint unix:///run/containerd/containerd.sock 2) vi /etc/crictl.yaml 3) systemctl daemon-reload 此时&#xff0c;再查看image: