Windows某些版本在RDS服务的实现中存在安全漏洞,此漏洞具有蠕虫特性,即利用这些漏洞的恶意软件可能会在无需用户交互的情况下在易受攻击的机器间进行传播。
绿盟科技互联网安全威胁周报NSFOCUS-2019-32
Oracle Fusion Middleware(子组件:Web Services)的Oracle WebLogic Server组件10.3.6.0.0、12.1.3.0.0和12.2.1.3.0版本中存在反序列化远程代码执行漏洞。未经验证的攻击者可利用该漏洞通过HTTP网络访问破坏Oracle WebLogic Server,导致接管Oracle WebLogic Server。
绿盟科技互联网安全威胁周报 NSFOCUS-2019-31
RubyGems ‘paranoid2′是一款基于Ruby的paranoid模型。RubyGems.org提供的分发Ruby程序的paranoid2 gem 1.1.6存在第三方插入的代码执行后门。攻击者可利用该漏洞在受影响系统的上下文中执行任意代码。 阅读全文 “绿盟科技互联网安全威胁周报 NSFOCUS-2019-31” »
【威胁通告】Django JSONField/HstoreField SQL 注入漏洞(CVE-2019-14234)
近日,Django 官方发布安全通告公布了一个 SQL 注入漏洞(CVE-2019-14234)。
阅读全文 “【威胁通告】Django JSONField/HstoreField SQL 注入漏洞(CVE-2019-14234)” »
美国能源部网络安全战略-第二部分
能源部CIO的各项IT战略目标都有对应的具体网络安全目标及其主要任务 阅读全文 “美国能源部网络安全战略-第二部分” »
绿盟科技互联网安全威胁周报NSFOCUS-2019-30
FreeBSD r343786之前和r338618之后的11.2-STABLE版本,r343781之前的12.0-STABLE版本,以及12.0-RELEASE-p3之前的12.0-RELEASE版本中存在本地权限提升漏洞,该漏洞源于UNIX域套接字的引用计数实现中的一个错误,它可能导致错误释放文件结构。 阅读全文 “绿盟科技互联网安全威胁周报NSFOCUS-2019-30” »
数据安全治理的关键:定义、追踪、挖掘
近日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》,对各方关注的数据安全问题的管理进行了直接回应。可见国家对数据安全的重视。
5G、云计算、物联网、人工智能、工业互联网和区块链等新兴技术飞速变革,以数字化、网络化为核心的信息变革深刻改变着世界,这个时代已经越来越离不开数据。数据量越大,安全保障的责任就越大。数据安全已经事关经济社会大局。
做好数据梳理是数据安全治理的第一步,也是关键的一步。通过数据梳理可以识别关键业务数据及其面临的风险,完善组织数据保护政策,有效落实数据安全管理规定,降低业务运营风险,建立动态可持续的数据安全运维管理保障体系。
如何做好数据梳理呢?
【威胁通告】ProFTPd任意文件拷贝漏洞(CVE-2019-12815)
近日,ProFTPd官方修复了一个任意文件拷贝漏洞(CVE-2019-12815)。该漏洞源于mod_copy模块中的自定义SITE CPFR和SITE CPTO操作,通过发起这2个命令给ProFTPd,攻击者可以在没有权限的情况下拷贝FTP服务器上的任何文件。 阅读全文 “【威胁通告】ProFTPd任意文件拷贝漏洞(CVE-2019-12815)” »
