[閒聊] 資安雙週報 241001

看板NetSecurity (資安 資訊安全)作者 (不安全研究員)時間2月前 (2024/10/01 07:36), 2月前編輯推噓2(205)
留言7則, 4人參與, 2月前最新討論串1/1
==== 資安雙週報 (241001) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 4-CVE 1-CUPS - pg(My)Admin - Hunt The AI - Hunt The IoT - Slack 表示:這不是我的錯 ... - 新的密碼規則 ## 4-CVE 1-CUPS ## Linux 知名軟體 CUPS[0] 被發現有四個高分 CVE 漏洞 允許未授權遠端使用者 替換/安裝使用的印表機 進而達到 RCE 在 Github Security 上也有相對應的討論[1] ## pg(My)Admin ## PostgreSQL 的管理工具 pgAdmin 修補一個嚴重的安全性問題 CVE-2024-9014[2] 這個問題導致攻擊者可以獲得 OAuth2 的 ClientID / Secret 並導致獲得未授權的資料 ## Hunt The AI ## AutoGTP 在針對 ML/AI 漏洞相關的 Huntr 專案中[3] 被提交一個 CVE-2024-6091 問題 可以導致 Command Injection 的狀況 (即使已經設定禁止清單) 這個問題的原因在於處理禁止指令的時候過於簡單 額外的路徑跳脫即可繞過檢查 同時 Nvidia 修復了一個 CVE-2024-0132 安全問題[4] 這個問題允許駭客跳脫容器 (Container) 隔離限制而存取主機 (Host) 據分析這個套件約有 1/3 的雲端環境都安裝此套件 ## Hunt The IoT ## 根據研究分析[5] 約有 1.3m 台 Android-based 的電視遭受入侵 這些較不知名的 IoT 裝置 被安裝後門軟體 可能原因是使用未更新的 Android 系統、或者安裝不安全的第三方套件 ## Slack 表示:這不是我的錯 ... ## 根據報導[6] 迪士尼因為公司軟體開發經理的電腦被入侵 導致駭客得以存取公司內超過 1TB 的機密資料 迪士尼認為從 Slack 一致更精簡的協作平台可以解決問題 ## 新的密碼規則 ## NIST 有出新的密碼規則 NIST-800-63B[7] 其中包含 - 允許最多 64 字元 (SHOULD permit a maximum password length of at least 64 characters) - 允許可視字元 (SHOULD accept all printing ASCII) - 允許 Unicode (SHOULD accept Unicode) - 不建議定期更換密碼的機制 (SHALL NOT require users to change passwords periodically) - 不建議強加組合規則 (SHALL NOT impose other composition rules) [0]: https://401.tw/WRyS [1]: https://401.tw/ZPf9 [2]: https://nvd.nist.gov/vuln/detail/CVE-2024-9014 [3]: https://huntr.com/bounties/8a742c13-bb5e-4bc9-8b86-049d8a386050 [4]: https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability [5]: https://news.drweb.com/show/?i=14900&lng=en [6]: https://401.tw/TmF2 [7]: https://pages.nist.gov/800-63-4/sp800-63b.html#introduction -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.228.12 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1727739384.A.454.html

10/02 14:39, 2月前 , 1F
最後一個還有一項也挺重要的 不建議除了長度及允許字元類型
10/02 14:39, 1F

10/02 14:39, 2月前 , 2F
以外的複雜度規則
10/02 14:39, 2F

10/02 14:41, 2月前 , 3F
不過可以以字典檔/關鍵字/過往外洩事件來過濾密碼
10/02 14:41, 3F
※ 編輯: CMJ0121 (111.242.215.135 臺灣), 10/04/2024 09:55:31

10/04 09:55, 2月前 , 4F
To 樓上大大:已補上 :)
10/04 09:55, 4F

10/05 19:17, 2月前 , 5F
可能是slack太貴但公司覆蓋率太高,找到機會痛一次換掉
10/05 19:17, 5F

10/05 21:21, 2月前 , 6F
強加一堆規定的密碼,乾脆你生給使用者算了
10/05 21:21, 6F

10/05 22:03, 2月前 , 7F
其實是放寬密碼要求,不再要求密碼規則和定期變更
10/05 22:03, 7F
文章代碼(AID): #1c-pNuHK (NetSecurity)
文章代碼(AID): #1c-pNuHK (NetSecurity)