[閒聊] 資安雙週報 250415

看板NetSecurity (資安資訊安全)作者CMJ0121 (不安全研究員)時間1天前 (2025/04/15 10:30)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串1/1

==== 資安雙週報 (250415) ==== 初一十五除了呷菜喔外也要關心一下安全圈的消息 - Check your Check Point - Path Traversal in AWS SSM - 越來越短的憑證 ## ======== Check your Check Point ======== ## 以色列網路安全公司 Check Point 回覆駭客宣稱的資料竊取事件[0] 駭客宣稱竊取了公司大量數據包含專案文件、憑證、原始碼等資訊並提出 5BTC 的價格出售資料公司針對說法作出回應稱這些並非來自新的入侵結果而且駭客誇大了竊取資料的重要程度 ## ======== Path Traversal in AWS SSM ======== ## 業者 Cymulate [1] 發現一個 AWS SSM 的 Path Traversal 安全漏洞攻擊者可以透過建構惡意的 plugin ID 當作跳脫路徑進而建構資料夾與可執行檔案官方宣稱[2] 此漏洞會沿用原本使用者的權限無法達到跳脫權限的攻擊 ## ======== 越來越短的憑證 ======== ## 根據報導[3] 自 2029 年之後 SSL/TSL 憑證最多只會有 47-day 有效期限根據目前提案憑證的有效期限如接下來的時程 - 2026/Mar 之後 ~ 6mo - 2027/Mar 之後 ~ 3mo - 2029/Mar 之後 ~ 1.5mo (47 days) [0]: https://arc.net/l/quote/flokdkzl [1]: https://cymulate.com/blog/aws-ssm-agent-plugin-id-path-traversal/ [2]: https://thehackernews.com/2025/04/amazon-ec2-ssm-agent-flaw-patched-after.html [3]: https://www.thesslstore.com/blog/47-day-ssl-certificate-validity-by-2029/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.245.232 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1744684237.A.503.html