上海做原创网站,新乡网站建设制作,加人引流加人网站怎么做,湘潭九华网站要闻速览
1.以下信息安全国家标准10月1日起实施 2.GitLab发布紧急安全补丁修复高危漏洞 3.主流显卡全中招#xff01;GPU.zip侧信道攻击可泄漏敏感数据 4.MOVEit漏洞导致美国900所院校学生信息发生大规模泄露 5.法国太空和国防供应商Exail遭黑客攻击#xff0c;泄露大量敏感…要闻速览
1.以下信息安全国家标准10月1日起实施 2.GitLab发布紧急安全补丁修复高危漏洞 3.主流显卡全中招GPU.zip侧信道攻击可泄漏敏感数据 4.MOVEit漏洞导致美国900所院校学生信息发生大规模泄露 5.法国太空和国防供应商Exail遭黑客攻击泄露大量敏感信息 6.英国王室网站因DDoS攻击而瘫痪
一周政策要闻
以下信息安全国家标准10月1日起实施
《信息安全技术 电信领域数据 安全指南》
实施日期2023-10-01 标准编号GB/T 42447-2023 概述/要求本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。适用于指导电信数据处理者开展数据安全保护工作也适用于指导第三方机构开展电信数据安全评估工作。 《信息安全技术 网络安全态势感知通用技术要求》
实施日期2023-10-01 标准编号GB/T 42453-2023 概述/要求本文件给出了网络安全态势感知技术框架规定了该框架中核心组件的通用技术要求本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。 《信息安全技术 网络安全从业人员能力基本要求》
实施日期2023-10-01 标准编号GB/T 42446-2023 概述/要求本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。 《信息安全技术 个人信息去标识化效果评估指南》 《信息安全技术 公共域名服务系统安全要求》 《信息安全技术 网络安全服务成本度量指南》 《信息技术 安全技术 实体鉴别 第3部分采用数字签名技术的机制》 《信息技术 安全技术 带附录的数字签名 第1部分概述》 《信息安全技术 信息系统安全保障评估框架 第1部分简介和一般模型》 《信息安全技术 公钥基础设施 PKI系统安全技术要求》 《信息安全技术 公钥基础设施 PKI系统安全测评方法》 《信息安全技术 IPSec VPN安全接入基本要求与实施指南》
信息来源粤密粤安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA
业内新闻速览
GitLab发布紧急安全补丁修复高危漏洞
GitLab本周四紧急发布安全补丁修复一个可让攻击者以其他用户身份运行管道的严重漏洞。 该漏洞编号为CVE-2023-5009CVSS评分9.6影响从13.12到16.2.7以及从16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究员JohanCarlsson又名joaxcar发现并报告了该漏洞。 GitLab在一份公告中表示“攻击者有可能通过预定的安全扫描策略以任意用户身份运行管道。”“该漏洞是CVE-2023-3932GitLab于2023年8月上旬修复了该漏洞的绕过并显示出额外的影响。” 通过利用CVE-2023-5009攻击者可以访问敏感信息或利用冒充用户的权限来修改源代码或在系统上运行任意代码从而导致严重后果。 GitLab强烈建议用户尽快将已安装的GitLab更新到最新版本以防范潜在风险。
消息来源 Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow
主流显卡全中招GPU.zip侧信道攻击可泄漏敏感数据
近日来自四所美国大学的研究人员针对主流显卡中的一个漏洞开发了一种新的GPU侧信道攻击当用户访问恶意网页时该攻击可利用GPU数据压缩技术从现代显卡中窃取敏感的视觉数据。 研究人员已经通过在Chrome浏览器上执行跨源SVG滤镜像素窃取攻击展示了这种GPU.zip攻击的有效性并2023年3月向受影响的显卡制造商披露了这一漏洞。 然而截至2023年9月受影响的GPU供应商AMD、苹果、ARM、英伟达、高通或GoogleChrome均尚未推出漏洞补丁。 德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在论文中对该漏洞进行了详细描述并将在第45届IEEE安全与隐私研讨会上发表。
消息来源GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA
MOVEit漏洞导致美国900所院校学生信息发生大规模泄露
美国非营利教育组织NSC国家学生信息交换所近日披露其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。 NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。 美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限并窃取了包含大量个人信息的文件。 根据通知信内容被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录例如入学记录、学位记录和课程级别数据。 美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。
消息来源GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA
法国太空和国防供应商Exail遭黑客攻击泄露大量敏感信息
Cybernews 研究团队发现法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。 Exail于 2022 年由 ECA Group 和 iXblue 合并后成立专注于机器人、海事、导航、航空航天和光子技术其客户包括美国海岸警卫队。由于这些特性Exail成为攻击者特别感兴趣的目标。 研究团队发现托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令因此文件的完全开放可能会暴露关键数据一旦攻击者访问便可以查看、修改或删除敏感数据并执行未经授权的操作并为攻击者者提供一系列攻击选项。 研究团队还发现Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本就可以针对性地利用与操作系统相关的特定漏洞。 而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。 此外攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击从而中断服务器的运行。 Cybernews研究团队向Exail进行反馈后对方已经修复了该问题但并未透露有关问题更加详细的信息。
消息来源FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g
英国王室网站因DDoS攻击而瘫痪 据报道英国王室官方网站周日10月1日因分布式拒绝服务DDoS攻击而离线。据《独立报》报道从当地时间上午10点开始Royal.uk网站大约有90分钟无法访问。尽管在撰写本文时 Cloudflare检查已经到位以确保寻求访问该网站的IP地址不是自动机器人但很快它就再次完全正常运行。据报道臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为所有组织都应确保其安全状况符合目的。DDoS攻击已成为俄罗斯黑客活动分子最喜欢的工具因为他们希望惩罚乌克兰的盟友并获得地缘政治分数。去年10月Killnet声称对美国十多个机场的网站发起了严重的DDoS攻击。
消息来源网空闲话plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g
来源:本安全周报所推送内容由网络收集整理而来仅用于分享并不意味着赞同其观点或证实其内容的真实性部分内容推送时未能与原作者取得联系若涉及版权问题烦请原作者联系我们我们会尽快删除处理谢谢
