欢迎您来到懒之才-站长的分享平台!   学会偷懒,并懒出境界是提高工作效率最有效的方法!
首页 > IT风暴 > 科技资讯 > IETF发布新版互联网安全协议 隐私保护获重大改进

IETF发布新版互联网安全协议 隐私保护获重大改进

2018-08-30 427 收藏 0 赞一个 0 真差劲 0 去评论

来源:中国电子银行网 韩希宇

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞274个,互联网上出现“NEWMARKNMCMS SQL注入漏洞、EMLsoft 'numPerPage'参数SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

dca08f816ff34bd684a77001b3564396.jpeg

一周行业要闻速览 TLS 1.3正式成为官方标准

互联网工程任务组(IETF)将TLS 1.3描述成为现代互联网设计的重大修改,称本次更新包含了在安全、性能和隐私方面的重大改进。>>详细

红芯致歉背后:研发一款国产自主浏览器内核到底有多难

其本质不只是一个浏览器,它是结合红芯安全管控后台以及红芯安全应用网关形成的一个跨设备安全办公整体解决方案,解决中大型企业IT在往移动化、上云迁移过程中所遇到的问题。>>详细

英特尔官宣第三大漏洞L1TF细节与防御措施

这个漏洞可能让攻击者窃取存储在计算机或第三方云上的信息,漏洞由一些研究人员发现并于1月向英特尔报告,该漏洞包括为 L1TF 或 L1 Terminal Fault 三个品种。随后,研究人员又发现了两个被叫做“Foreshadow-NG”的类似变体,会攻击代码、操作系统、管理程序软件以及其它微处理器。>>详细

技术观澜 防御Mimikatz攻击的方法介绍

Mimikatz在内网渗透测试中发挥着至关重要的作用,主要是因为它能够以明文形式从内存中提取明文密码。攻击者在他们的渗透中大量使用Mimikatz,尽管微软推出了安全补丁,但是在较旧的操作系统中Mimikatz仍然有效。>>详细

Python技巧101:这17个操作你都Ok吗

Python的编写使用方式有多种,数据科学、网页开发、机器学习皆可使用Python。Quora、Pinterest和Spotify都使用Python作为其后端开发语言。>>详细

基于深度学习的智能网格错误数据注入攻击动态检测

在已提出的方法中,基于深度学习的框架工作用于检测注入数据测量。我们的时间序列异常检测器采用卷积神经网络(CNN)和一个长短期记忆(LSTM)网络。>>详细

安全威胁播报上周漏洞基本情况

上周(2018年08月13日-2018年08月19日)信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞274个,其中高危漏洞107个、中危漏洞155个、低危漏洞12个。漏洞平均分值为6.24。上周收录的漏洞中,涉及0day漏洞71个(占26%),其中互联网上出现“NEWMARKNMCMS SQL注入漏洞、EMLsoft 'numPerPage'参数SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Exchange Server是一套电子邮件服务程序,它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Edge是内置于Windows 10版本中的网页浏览器。InternetExplorer是微软公司推出的一款网页浏览器。Microsoft Visual Studio是一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。MicrosoftWindows 7等都是一系列操作系统。Windows FTP Server是其中的一个FTP(文件传输协议)服务器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Microsoft ExchangeServer内存破坏漏洞、Microsoft Internet Explorer和Edge脚本引擎内存破坏漏洞(CNVD-2018-15434、CNVD-2018-15435、CNVD-2018-15436)、MicrosoftInternet Explorer脚本引擎内存破坏漏洞(CNVD-2018-15439、CNVD-2018-15438)、MicrosoftVisual Studio远程代码执行漏洞、Microsoft Windows FTP Server拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Intel产品安全漏洞

Intel Quartus II是一套用于硬件编程的软件。Intel ServerBoard是一款服务器主板。Compute Module是一款计算模块。Server System是一款服务器阵列卡。Intel 4th GenIntel Core Processor等都是不同系列的中央处理器(CPU)产品。IntelProcessor Diagnostic Tool(IPDT)是一款处理器功能诊断工具。IntelConverged Security Manageability Engine是一款使用在CPU(中央处理器)中的安全管理引擎。ActiveManagement Technology(AMT)是其中的一个主动管理组件。Intel SaffronMemoryBase是一款用于Saffron的内存基础套件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Intel QuartusII权限提升漏洞、Intel Server Board、Compute Module和Server System拒绝服务漏洞、多款Intel产品信息泄露漏洞、Intel ProcessorDiagnostic Tool权限提升漏洞(CNVD-2018-15596、CNVD-2018-15597)、IntelConverged Security Manageability Engine Active Management Technology权限提升漏洞、Intel SaffronMemoryBase权限提升漏洞(CNVD-2018-15599、CNVD-2018-15600)。其中,除“Intel QuartusII权限提升漏洞、多款Intel产品信息泄露漏洞、Intel SaffronMemoryBase权限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Camel是一套开源的基于EnterpriseIntegration Pattern(企业整合模式,简称EIP)的集成框架。Apache Ignite是一套用于大规模的数据集处理的内存计算和事务管理平台。Apache Kafka是一个开源的分布式流媒体平台。Apache Storm是一个免费开源的分布式实时计算系统。Apache Tomcat是一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。Apache Ant是一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,绕过安全限制,执行未授权的操作,执行任意代码等。

CNVD收录的相关漏洞包括:Apache CamelCore XSD validation processor外部实体信息泄露漏洞、Apache Ignite任意代码执行漏洞(CNVD-2018-15540)、Apache Kafka安全绕过漏洞、Apache Storm任意代码执行漏洞(CNVD-2018-15544)、Apache Tomcat安全限制绕过漏洞(CNVD-2018-15543)、Apache Ant未授权操作漏洞、Apache TomcatNative身份验证漏洞(CNVD-2018-15545、CNVD-2018-15547)。其中,“Apache Ignite任意代码执行漏洞(CNVD-2018-15540)、Apache Storm任意代码执行漏洞(CNVD-2018-15544)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Internet Graphics Server(IGS)是一款图形服务器。SAP MaxDB是一套跨平台的、兼容ANSI SQL-92的关系数据库管理系统。SAP IdentityManagement是一套能够嵌入到业务流程中的身份管理应用程序。SAP HANA是一套实时数据分析平台。SAP NetWeaver是一套面向服务的集成化应用平台,该平台可为SAP应用提供开发和运行环境。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,绕过某些安全限制并执行未授权的操作。

CNVD收录的相关漏洞包括:SAP InternetGraphics Server Portwatcher拒绝服务漏洞(CNVD-2018-15390)、SAP MaxDB ODBC远程代码注入漏洞、SAP InternetGraphics Server Portwatcher拒绝服务漏洞、SAP Identity Management XML外部实体注入漏洞、SAP IdentityManagement信息泄露漏洞、SAP Internet Graphics Server HTTP和RFC listener拒绝服务漏洞、SAP HANA SAPSystems Installation权限提升漏洞、SAP NetWeaver AS Java Log Injection安全绕过漏洞。其中,“SAP MaxDB ODBC远程代码注入漏洞、SAP HANA SAPSystems Installation权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

PbootCMS 'scode'参数SQL注入漏洞

PbootCMS是一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。上周,PbootCMS被披露存在SQL注入漏洞。远程攻击者可通过向\apps\home\controller\ParserController.php脚本发送'scode'参数利用该漏洞从数据库中获取重要信息。

小结上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。此外,Intel、Apache、SAP等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,绕过安全限制,执行未授权的操作,执行任意代码或发起拒绝服务攻击等。另外,PbootCMS被披露存在SQL注入漏洞。远程攻击者可通过向\apps\home\controller\ParserController.php脚本发送'scode'参数利用该漏洞从数据库中获取重要信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、安全牛、雷锋网、51CTO、嘶吼RoarTalk、FreebuF.COM报道

文章来源:http://www.sohu.com/a/249790196_115643

一、推荐使用迅雷或快车等多线程下载软件下载本站资源。

二、未登录会员无法下载,登录后可获得更多便利功能,若未注册,请先注册。

三、如果服务器暂不能下载请稍后重试!总是不能下载,请点我报错 ,谢谢合作!

四、本站大部分资源是网上搜集或私下交流学习之用,任何涉及商业盈利目的均不得使用,否则产生的一切后果将由您自己承担!本站将不对任何资源负法律责任.如果您发现本站有部分资源侵害了您的权益,请速与我们联系,我们将尽快处理.

五、如有其他问题,请加网站设计交流群(点击这里查看交流群 )进行交流。

六、如需转载本站资源,请注明转载来自并附带链接

七、本站部分资源为加密压缩文件,统一解压密码为:www.aizhanzhe.com

大家评论