[閒聊] 資安雙週報 240715

看板NetSecurity (資安資訊安全)作者CMJ0121 (不安全研究員)時間4月前 (2024/07/15 07:11)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串1/1

==== 資安雙週報 (240715) ==== 初一十五除了呷菜喔外也要關心一下安全圈的消息 - Linksys 產品傳送明文密碼 - RADIUS 協定可能遭到 MITM 攻擊 - Twilio 修復 Authy 安全問題 - Apache Security Update(s) - 行政院修法資安法非公務機關拒調查可罰 100萬 ## Linksys 產品傳送明文密碼 ## 根據報導[0] Linksys 的兩個 mesh server 產品會在設定完畢之後將 SSID 與明文密碼等資料傳送到 AWS Server 當事件被揭露之後 Linksys 釋出一個新的 firmware 版本但沒主動通知更新 ## RADIUS 協定可能遭到 MITM 攻擊 ## 多方研究人員[1]聯合揭露 CVE-2024-3596 揭露 RAIUS 可能被發動 MITM 攻擊 RADIUS 是遠端使用者撥入驗證服務用來驗證、授權與記帳的輕量協議目前仍在各方 (例如路由器、工控系統、VPN 等) 廣泛使用 ## Twilio 修復 Authy 安全問題 ## 根據報導 [2] 駭客宣稱從 Twilio 偷走 33m 數量的手機號碼而 Twilio 確認是 Authy 這個二階段驗證服務遭到竊取 Twilio 也強調。並未有證據顯示駭客存取其他機密資料但為求安全要求所有 Authy 用戶更新所有系統 ## Apache Security Update(s) ## Apache HTTP Server 釋出新的安全性更新[3] 修復多個安全性問題其中一個嚴重的安全漏洞為 CVE-2024-39884 這個問題會導致洩漏原始碼 (source code disclosure of local content) 例如 PHP 程式法可能直接顯示而非被直譯 ## 行政院修法資安法非公務機關拒調查可罰 100萬 ## 行政院4日通過資通安全管理法修正草案 [4] 未來修法後資安署得稽核所有納管的公務機關或特定非公務機關當發生重大資安事件若規避、妨礙或拒絕調查時可開罰新台幣 10 ~ 100 罰緩 [0]: https://401.tw/ywRe [1]: https://www.ithome.com.tw/news/163887 [2]: https://401.tw/arNC [3]: https://httpd.apache.org/security/vulnerabilities_24.html [4]: https://www.ettoday.net/news/20240704/2770593.htm -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.224.211 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1720998694.A.FE9.html