[閒聊] 資安雙週報 241001
==== 資安雙週報 (241001) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- 4-CVE 1-CUPS
- pg(My)Admin
- Hunt The AI
- Hunt The IoT
- Slack 表示:這不是我的錯 ...
- 新的密碼規則
## 4-CVE 1-CUPS ##
Linux 知名軟體 CUPS[0] 被發現有四個高分 CVE 漏洞
允許未授權遠端使用者 替換/安裝使用的印表機 進而達到 RCE
在 Github Security 上也有相對應的討論[1]
## pg(My)Admin ##
PostgreSQL 的管理工具 pgAdmin 修補一個嚴重的安全性問題 CVE-2024-9014[2]
這個問題導致攻擊者可以獲得 OAuth2 的 ClientID / Secret 並導致獲得未授權的資料
## Hunt The AI ##
AutoGTP 在針對 ML/AI 漏洞相關的 Huntr 專案中[3] 被提交一個 CVE-2024-6091 問題
可以導致 Command Injection 的狀況 (即使已經設定禁止清單)
這個問題的原因在於處理禁止指令的時候過於簡單
額外的路徑跳脫即可繞過檢查
同時 Nvidia 修復了一個 CVE-2024-0132 安全問題[4]
這個問題允許駭客跳脫容器 (Container) 隔離限制而存取主機 (Host)
據分析這個套件約有 1/3 的雲端環境都安裝此套件
## Hunt The IoT ##
根據研究分析[5] 約有 1.3m 台 Android-based 的電視遭受入侵
這些較不知名的 IoT 裝置 被安裝後門軟體
可能原因是使用未更新的 Android 系統、或者安裝不安全的第三方套件
## Slack 表示:這不是我的錯 ... ##
根據報導[6] 迪士尼因為公司軟體開發經理的電腦被入侵
導致駭客得以存取公司內超過 1TB 的機密資料
迪士尼認為從 Slack 一致更精簡的協作平台可以解決問題
## 新的密碼規則 ##
NIST 有出新的密碼規則 NIST-800-63B[7]
其中包含
- 允許最多 64 字元 (SHOULD permit a maximum password length of at least 64 characters)
- 允許可視字元 (SHOULD accept all printing ASCII)
- 允許 Unicode (SHOULD accept Unicode)
- 不建議定期更換密碼的機制 (SHALL NOT require users to change passwords periodically)
- 不建議強加組合規則 (SHALL NOT impose other composition rules)
[0]: https://401.tw/WRyS
[1]: https://401.tw/ZPf9
[2]: https://nvd.nist.gov/vuln/detail/CVE-2024-9014
[3]: https://huntr.com/bounties/8a742c13-bb5e-4bc9-8b86-049d8a386050
[4]: https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability
[5]: https://news.drweb.com/show/?i=14900&lng=en
[6]: https://401.tw/TmF2
[7]: https://pages.nist.gov/800-63-4/sp800-63b.html#introduction
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.228.12 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1727739384.A.454.html
→
10/02 14:39,
2月前
, 1F
10/02 14:39, 1F
→
10/02 14:39,
2月前
, 2F
10/02 14:39, 2F
→
10/02 14:41,
2月前
, 3F
10/02 14:41, 3F
※ 編輯: CMJ0121 (111.242.215.135 臺灣), 10/04/2024 09:55:31
→
10/04 09:55,
2月前
, 4F
10/04 09:55, 4F
推
10/05 19:17,
2月前
, 5F
10/05 19:17, 5F
→
10/05 21:21,
2月前
, 6F
10/05 21:21, 6F
推
10/05 22:03,
2月前
, 7F
10/05 22:03, 7F
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章