安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-01-09)
最新安全漏洞漏洞标题:Linux kernel 安全漏洞提交时间:2017-01-06披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-9754漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-114影响组件:Linux kernel 4.6.1之前的版漏洞描述:Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。Linux kernel 4.6.1之前的版本中的profiling子系统的kernel/trace/ring_buffer.c文件的‘ring_buffer_resize’函数存在安全漏洞,该漏洞源于程序没有正确的处理整数计算。本地攻击者可通过写入/sys/kernel/debug/tracing/buffer_size_kb文件利用获取权限。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.6.1

漏洞标题:多款IBM Security Access Manager产品安全漏洞提交时间:2017-01-06披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-2908漏洞类别:XML外部实体注入漏洞CNNVD-ID:CNNVD-201701-117影响组件:IBM Security Access Manager for Web 8.0.0.0版本至.0.1.4版本;Security Access Manager for Mobile 8.0.0.0版本至.0.1.4版本;Security Access Manager 9.0版本至9.0.1.0版本漏洞描述:IBM Security Access Manager(ISAM)等都是美国IBM公司的产品。ISAM是一款安全访问管理器;IBM Security Access Manager for Web是一套通过一个模块式软件包提供移动访问安全防护的解决方案。多款ISAM产品中存在XML外部实体注入漏洞。远程攻击者可利用该漏洞读取系统上的任意文件或造成拒绝服务。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www-01.ibm.com/support/docview.wss?uid=swg21995531

漏洞标题:Tenable Network Security Tenable Nessus 跨站脚本漏洞提交时间:2017-01-06披露/发现时间:漏洞等级:中CVE-ID:CVE-2017-5179漏洞类别:跨站脚本漏洞CNNVD-ID:CNNVD-201701-108影响组件:Tenable Network Security Tenable Nessus 6.9.3漏洞描述:Tenable Network Security Tenable Nessus是美国Tenable Network Security公司的一款开源的漏洞扫描器。Tenable Network Security Tenable Nessus 6.9.3之前的版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意脚本或HTML。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.tenable.com/security/tns-2017-01

TK教主于旸触电网络剧展示激光入侵

漏洞标题:Firejail 安全漏洞提交时间:2017-01-06披露/发现时间:漏洞等级:中CVE-ID:CVE-2017-5180漏洞类别:本地代码执行漏洞CNNVD-ID:CNNVD-201701-115影响组件:Firejail漏洞描述:Firejail是一套使用C语言编写的SUID程序,它可通过使用Linux命名空间(Linux namespaces)和seccomp-bpf(一种沙箱机制)限制不受信任的应用程序的运行环境来降低安全漏洞风险。Firejail中存在本地代码执行漏洞。本地攻击者可利用该漏洞在应用程序的上下文中执行任意代码,导致拒绝服务。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://firejail.wordpress.com/

漏洞标题:INSIDE Secure MatrixSSL 安全漏洞提交时间:2017-01-06披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-6892漏洞类别:拒绝服务漏洞CNNVD-ID:CNNVD-201701-110影响组件:INSIDE Secure MatrixSSL 3.8.6之前的版本漏洞描述:INSIDE Secure MatrixSSL是法国INSIDE Secure公司的一个针对小型应用程序和设备而设计的嵌入式、开源SSLv3协议栈。INSIDE Secure MatrixSSL 3.8.6之前的版本中的‘x509FreeExtensions’函数中存在安全漏洞。远程攻击者可借助特制的X.509证书利用该漏洞造成拒绝服务(释放未分配的内存)。
安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.matrixssl.org/blog/releases/matrixssl_3_8_6

景县供电公司组织开展保密知识答题活动

安全资讯
美国参议员提议设立监察长办公室 这是要将黑客汇聚一堂?
美国民主党参议员谢尔顿·怀特豪斯(SheldonWhitehouse)提议设立独立的监察长办公室,负责测试美国联邦和民事机构的网络安全。
该办公室会配备“红队”操作人员,渗透或“公开测试”机构的计算机网络,从而为联邦高官提供现有漏洞相关的信息。
怀特豪斯解释道,“目前有73个不同的监察长肩负网络职责,期待所有监察长具备足够的专业知识和能力,这不合理。事实上,许多监察长所做的无非就是检查是否符合最低标准。一个专门的独立办公室可以为美国政府吸纳世界级人才,并激励联邦机构采取更有效的网络安全措施。”
怀特豪斯提议将这个概念融入第45任总统网络安全议程《从意识到行动》(他与众议员迈克尔·麦考尔(Michael McCaul)和华盛顿智库战略与国际研究中心共同拟定)。怀特豪斯和麦考尔计划采取这份报告中提议的立法行动。
怀特豪斯表示,“提议的第74名监察长将可能被安排在政府问责局管理与预算办公室(Office of Management and Budget or Government Accountability Office)”。
他还指出,“了解漏洞是提升防御的首个重要步骤。我们还需清楚向美国民众传达现有威胁的严重性与广度。受过良好教育的普通民众是民主的第一道防线。”
网络安全宣传动画——个人信息安全保护
为了增强网络安全的公众意识,怀特豪斯还鼓励特朗普指派一名网络安全披露者,赋予该职位广泛的解密(解除已失去保密价值档案文件的保密限制)权限,并不断清晰、简明地报告供有关主要网络攻击的数据。
怀特豪斯表示,“网络攻击信息具有保密性,难以向公众报告。”通过解密,他希望公众能更好地了解对联邦政府面临的挑战。
怀特豪斯是否会在2017财年提议立法(监察长办公室),目前尚不清楚。
当被问及后续步骤时,怀特豪斯表示,“我还没有调查行政命令和立法能实现什么?McCaul、我、情报委员会委员和众议员都要看看我的各种选择。我认为,该报告提供了非常好的框架。”

人民检察院、保密行政管理部门查办泄密案件若干问题的规定

美情报机构:俄罗斯涉嫌通过黑客攻击和散步虚假消息干预美国大选
1月5日,美国情报机构高级官员在国会参院听证会上共同签署的一份声明内容,该声明指出,俄罗斯黑客在美国大选期间对美发动了黑客攻击,攻击目标包括民主党全国委员会在内的美国政府组织、重要基础设施和其它企业。但声明也认为,俄罗斯黑客活动并没有改变美国票数统计或干预投票过程。
三位情报机构官员联合表态
美国国家情报总监克拉珀(James Clapper)、国家安全局长罗杰斯(Michael Rogers)以及主管情报的国防部次长莱特(Marcel Lettre)一致表示,经过评估,针对美国大选的相关网络攻击行动是经俄罗斯最高层官员授权的国家行动,俄罗斯的网络攻击对美国的国家利益构成重大威胁。
美国国家情报总监克拉珀认为:
俄罗斯总统普京下令对美国民主党的邮件发动黑客攻击行动,是一项“多方位的行动”,包括宣传、散布虚假信息以及制造假新闻等。而这次网络攻击性从威胁程度来说,是史无前例的,这是对我们选举制度更直接的干预。
企业没有把计算机安全管理工作作为日常工作的重点对待,没有建立相关安全制度。或者即使建立了制度,管理工作也只是流于形式,信息安全管理严重滞后于业务的发展。
不过他也强调,俄罗斯黑客活动并没有操纵或干预投票过程,而美情报机构现在也”无法评估“维基揭秘公布的信息如何影响了选民的投票选择。
而国安局长罗杰斯则承认,在有关网络攻击的事宜上,美国情报系统行动过于迟缓,而俄罗斯是美国在网络空间的首要竞争对手。
据外媒报导,美国情报部门将在接下来的几天公布俄罗斯黑客事件调查报告的一个非机密版本,届时将会有更多证据信息。而今天向特朗普提交的报告内容是:根据情报部门的判断,莫斯科干扰了美国总统选举,试图帮助共和党候选人特朗普战胜民主党候选人希拉里克林顿。
最后,克拉珀还声称,中国最近也成功针对美国政府进行了网络间谍行为。不过,自从两国2015年签署双边协议限制间谍行为以来,中国对美国的网络攻击有所减少。另外,据美国情报官员声称,当美国大选出结果之后,他们截获了俄罗斯政府高级别官员之间对大选结果表示祝贺的电话通讯。
特朗普发推特质疑美情报机构的前后
特朗普在周三已经发推文对莫斯科是网络袭击元凶的说法表示怀疑。过去几天,特朗普在推特上提及维基解密创办人阿桑奇接受美国福克斯电视台的采访,其中阿桑奇表示,一个14岁的孩子也能够轻而易举打入美国民主党人的电子邮箱。选战期间特朗普曾说过,过去10年里美国情报系统的所作所为,简直是“一场灾难”。
而周四特朗普则在推特发生态度转折,并声称,他是美国情报系统的”大粉丝”,媒体想出现他与情报部门势不两立的局面。


(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号

云计算、SaaS、社交网络、移动通信和信息安全是拉动科技界并购增长的主要动力。

猜您喜欢

海尔欲引爆物联网 携物联网行业首个操作系统亮相CES
安全基础理论课程助力培养全民网络安全意识
如何防范智能手机LBS地理位置信息泄露
国平
DIDRIKSONS ALLIEDDIGITALPHOTO
提升安全管理绩效的不二方法