一周网安动态
Weekly Network Security
2022-11-07 周一
20221031-20221107
LEISHI
# 内容预览 #
Part1
2.国家网信办依法集中查处一批侵犯个人信息合法权益的违法违规App
3.《个人信息保护法》一周年 国家标准支撑《个人信息保护法》落地实施一周年
4.湖南一公务员非法获取公民个人信息4亿余条:非法获利170余万
Part2
1.OPERA1ER黑客从银行和电信公司窃取了超过1100万美元
2.黑客以400万美元的价格出售对576个企业网络的访问权限
3.在 Google Play 上发现安装量为 1M+ 的恶意安卓应用
4.智利阿塔卡马射电望远镜因网络攻击而瘫痪
Part3
1.OpenSSL多个高危漏洞安全风险通告
2.Checkmk 11月多个安全漏洞
3.Nginx NJS释放后使用漏洞(CVE-2022-43286)
4.Spring Security Oauth2 Client权限提升漏洞(CVE-2022-31690)
# 国内资讯 #
01
中央网信办印发《关于切实
加强网络暴力治理的通知》
网络暴力针对个人集中发布侮辱谩骂、造谣诽谤、侵犯隐私等违法信息及其他不友善信息,侵害他人合法权益,扰乱正常网络秩序。为切实加大网暴治理力度,进一步压实网站平台主体责任,健全完善长效工作机制,有效保障广大网民合法权益,维护文明健康的网络环境,现通知如下。
消息来源:
https://www.secrss.com/articles/48678
02
国家网信办依法集中查处一批侵犯
个人信息合法权益的违法违规App
为贯彻党中央、国务院决策部署,落实中央全面深化改革委员会第十七次会议精神、《国务院办公厅关于建立健全政务数据共享协调机制加快推进数据有序共享的意见》(国办发〔2021〕6号)和《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)部署要求,整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用,制定本建设指南。
消息来源:
https://www.secrss.com/articles/48617
03
《个人信息保护法》一周年
国家标准支撑《个人信息保护法》落地实施一周年
《个人信息保护法》确立了国家网信部门统筹协调、各相关部门分工负责的个人信息监管模式,进一步强化了统分结合的工作机制和监管框架。论坛上,中央网信办网络法治局局长李长喜表示,《个人信息保护法》的出台在推进个人信息保护依法治理方面取得了积极成效,有效解决了此前个人信息保护存在的立法碎片化、管理机制碎片化问题。
消息来源:
https://mp.weixin.qq.com/s/qwKlyQkyow8E-2wu7B8Kgw
04
湖南一公务员非法获取公民个人
信息4亿余条:非法获利170余万
消息来源:
https://www.secrss.com/articles/48689
# 国外资讯 #
01
OPERA1ER黑客从银行和电信公司
窃取了超过1100万美元
研究人员称之为OPERA1ER的威胁组织使用现成的黑客工具从非洲的银行和电信服务提供商那里窃取了至少1100万美元。
在 2018 年至 2022 年期间,黑客发起了超过 35 次成功的攻击,其中约 1/3 是在 2020 年进行的。
消息来源:
https://www.t00ls.com/articles-67682.html
02
黑客以400万美元的价格出售对
576个企业网络的访问权限
一份新的报告显示,黑客正在出售对全球576个企业网络的访问权,累计销售价格为4,000,000美元,加剧了对企业的攻击。
该研究来自以色列网络情报公司 KELA,该公司发布了 2022 年第三季度勒索软件报告,反映了初始访问销售领域的稳定活动,但产品价值急剧上升。
尽管网络接入的销售数量与前两个季度大致相同,但累计要求的价格现已达到 4,000,000 美元。
相比之下,2022 年第二季度初始访问列表的总价值为 660,000 美元,记录的价值下降恰逢夏季勒索软件中断损害需求。
消息来源:
https://www.t00ls.com/articles-67651.html
03
在 Google Play 上发现安装量
为 1M+ 的恶意安卓应用
目前在Android系统的官方商店Google Play中可用的一组四个恶意应用程序正在引导窃取敏感信息或为运营商产生“按点击付费”收入的用户网站。
其中一些网站为受害者提供下载虚假安全工具或更新的机会,以诱骗用户手动安装恶意文件。
新版 Chrome 标签页上的虚假更新通知
消息来源:https://www.t00ls.com/articles-67663.html
04
智利阿塔卡马射电望远镜因网络攻击而瘫痪
消息来源:
https://www.t00ls.com/articles-67696.html
# 威胁情报 #
01
OpenSSL多个高危漏洞安全风险通告
2022年4月,VMware修复了CVE-2022-22954漏洞。该漏洞是由于VMware缺少对“deviceUdid”和“devicetype”参数的清理,从而造成了服务器模板注入(SSTI)漏洞而产生的。该漏洞使得攻击者可以在VMware Workspace ONE Access and Identity Manager上注入有效载荷并实现代码的远程执行。针对该漏洞,FortiGuard Labs (FortiGuard全球威胁研究与响应实验室)在4月份发布了相关的安全威胁报告和IPS签名。
消息来源:
https://www.secrss.com/articles/48597
02
Checkmk 11月多个安全漏洞
Checkmk是使用 Python 和 C++ 开发的 IT 基础设施监控解决方案。Checkmk的开源版监控工具基于Nagios Core,并提供与NagVis的集成,用于可视化和生成基础设施、服务器、端口和进程的拓扑图。
消息来源:
https://www.venustech.com.cn/new_type/aqtg/20221103/24741.html
03
Nginx NJS释放后使用漏洞
(CVE-2022-43286)
NGINX是美国NGINX公司的一款轻量级Web服务器/反向代理服务器和电子邮件(IMAP/POP3/SMTP)代理服务器。NJS是其中的一个支持扩展NGINX功能的脚本语言组件。
近日,Nginx NJS被披露存在一个释放后使用漏洞(CVE-2022-43286),在受影响的Nginx NJS版本中,njs_json.c中的njs_json_parse_iterator_call函数由于非法内存复制导致存在堆释放后使用漏洞,成功利用此漏洞可能导致拒绝服务或远程代码执行。
此外,Nginx NJS中还修复了一个拒绝服务漏洞(CVE-2022-43285),由于 njs_promise_reaction_job函数存在分段违规问题,成功利用此漏洞可能导致拒绝服务。
消息来源:https://www.venustech.com.cn/new_type/aqtg/20221031/24728.html
04
Spring Security Oauth2 Client
权限提升漏洞(CVE-2022-31690)
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
10月31日,VMware发布安全公告,修复了Spring Security中的一个权限提升漏洞(CVE-2022-31690),该漏洞的CVSSv3基础评分为8.1。
该漏洞存在于spring-security-oauth2-client中,恶意用户可以通过修改客户端向授权服务器发起的请求,在某些特定情况下可能导致权限提升。
此外,Spring Security中还修复了另一个授权规则绕过漏洞(CVE-2022-31692),受影响的Spring Security版本在某些特定情况下容易通过FORWARD或INCLUDE调度绕过授权规则。
消息来源:https://www.venustech.com.cn/new_type/aqtg/20221101/24731.html
END
点击关注
一周网安动态由雷石安全实验室汇总整理
信息来源:
安全内参,安全客、中国信息安全、cnbeta、seebug,hacknews、freebuf
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...