[閒聊] 資安雙週報 240715
==== 資安雙週報 (240715) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- Linksys 產品傳送明文密碼
- RADIUS 協定可能遭到 MITM 攻擊
- Twilio 修復 Authy 安全問題
- Apache Security Update(s)
- 行政院修法資安法 非公務機關拒調查可罰 100萬
## Linksys 產品傳送明文密碼 ##
根據報導[0] Linksys 的兩個 mesh server 產品
會在設定完畢之後 將 SSID 與明文密碼等資料傳送到 AWS Server
當事件被揭露之後 Linksys 釋出一個新的 firmware 版本但沒主動通知更新
## RADIUS 協定可能遭到 MITM 攻擊 ##
多方研究人員[1]聯合揭露 CVE-2024-3596 揭露 RAIUS 可能被發動 MITM 攻擊
RADIUS 是遠端使用者撥入驗證服務 用來驗證、授權與記帳的輕量協議
目前仍在各方 (例如路由器、工控系統、VPN 等) 廣泛使用
## Twilio 修復 Authy 安全問題 ##
根據報導 [2] 駭客宣稱從 Twilio 偷走 33m 數量的手機號碼
而 Twilio 確認是 Authy 這個二階段驗證服務遭到竊取
Twilio 也強調。並未有證據顯示駭客存取其他機密資料
但為求安全 要求所有 Authy 用戶更新所有系統
## Apache Security Update(s) ##
Apache HTTP Server 釋出新的安全性更新[3] 修復多個安全性問題
其中一個嚴重的安全漏洞為 CVE-2024-39884
這個問題會導致洩漏原始碼 (source code disclosure of local content)
例如 PHP 程式法可能直接顯示而非被直譯
## 行政院修法資安法 非公務機關拒調查可罰 100萬 ##
行政院4日通過 資通安全管理法 修正草案 [4]
未來修法後 資安署得稽核所有納管的公務機關或特定非公務機關
當發生重大資安事件 若規避、妨礙或拒絕調查時 可開罰新台幣 10 ~ 100 罰緩
[0]: https://401.tw/ywRe
[1]: https://www.ithome.com.tw/news/163887
[2]: https://401.tw/arNC
[3]: https://httpd.apache.org/security/vulnerabilities_24.html
[4]: https://www.ettoday.net/news/20240704/2770593.htm
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.224.211 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1720998694.A.FE9.html
推
07/16 01:22,
5月前
, 1F
07/16 01:22, 1F
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章