[閒聊] 資安雙週報 241001

看板NetSecurity (資安資訊安全)作者CMJ0121 (不安全研究員)時間2周前 (2024/10/01 07:36)推噓2(2推 0噓 5→)

留言7則, 4人參與討論串1/1

==== 資安雙週報 (241001) ==== 初一十五除了呷菜喔外也要關心一下安全圈的消息 - 4-CVE 1-CUPS - pg(My)Admin - Hunt The AI - Hunt The IoT - Slack 表示：這不是我的錯 ... - 新的密碼規則 ## 4-CVE 1-CUPS ## Linux 知名軟體 CUPS[0] 被發現有四個高分 CVE 漏洞允許未授權遠端使用者替換/安裝使用的印表機進而達到 RCE 在 Github Security 上也有相對應的討論[1] ## pg(My)Admin ## PostgreSQL 的管理工具 pgAdmin 修補一個嚴重的安全性問題 CVE-2024-9014[2] 這個問題導致攻擊者可以獲得 OAuth2 的 ClientID / Secret 並導致獲得未授權的資料 ## Hunt The AI ## AutoGTP 在針對 ML/AI 漏洞相關的 Huntr 專案中[3] 被提交一個 CVE-2024-6091 問題可以導致 Command Injection 的狀況 (即使已經設定禁止清單) 這個問題的原因在於處理禁止指令的時候過於簡單額外的路徑跳脫即可繞過檢查同時 Nvidia 修復了一個 CVE-2024-0132 安全問題[4] 這個問題允許駭客跳脫容器 (Container) 隔離限制而存取主機 (Host) 據分析這個套件約有 1/3 的雲端環境都安裝此套件 ## Hunt The IoT ## 根據研究分析[5] 約有 1.3m 台 Android-based 的電視遭受入侵這些較不知名的 IoT 裝置被安裝後門軟體可能原因是使用未更新的 Android 系統、或者安裝不安全的第三方套件 ## Slack 表示：這不是我的錯 ... ## 根據報導[6] 迪士尼因為公司軟體開發經理的電腦被入侵導致駭客得以存取公司內超過 1TB 的機密資料迪士尼認為從 Slack 一致更精簡的協作平台可以解決問題 ## 新的密碼規則 ## NIST 有出新的密碼規則 NIST-800-63B[7] 其中包含 - 允許最多 64 字元 (SHOULD permit a maximum password length of at least 64 characters) - 允許可視字元 (SHOULD accept all printing ASCII) - 允許 Unicode (SHOULD accept Unicode) - 不建議定期更換密碼的機制 (SHALL NOT require users to change passwords periodically) - 不建議強加組合規則 (SHALL NOT impose other composition rules) [0]: https://401.tw/WRyS [1]: https://401.tw/ZPf9 [2]: https://nvd.nist.gov/vuln/detail/CVE-2024-9014 [3]: https://huntr.com/bounties/8a742c13-bb5e-4bc9-8b86-049d8a386050 [4]: https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability [5]: https://news.drweb.com/show/?i=14900&lng=en [6]: https://401.tw/TmF2 [7]: https://pages.nist.gov/800-63-4/sp800-63b.html#introduction -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.228.12 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1727739384.A.454.html