==== 資安雙週報 (241001) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 4-CVE 1-CUPS - pg(My)Admin - Hunt The AI - Hunt The IoT - Slack 表示：這不是我的錯 ... - 新的密碼規則 ## 4-CVE 1-CUPS ## Linux 知名軟體 CUPS[0] 被發現有四個高分 CVE 漏洞 允許未授權遠端使用者 替換/安裝使用的印表機 進而達到 RCE 在 Github Security 上也有相對應的討論[1] ## pg(My)Admin ## PostgreSQL 的管理工具 pgAdmin 修補一個嚴重的安全性問題 CVE-2024-9014[2] 這個問題導致攻擊者可以獲得 OAuth2 的 ClientID / Secret 並導致獲得未授權的資料 ## Hunt The AI ## AutoGTP 在針對 ML/AI 漏洞相關的 Huntr 專案中[3] 被提交一個 CVE-2024-6091 問題 可以導致 Command Injection 的狀況 (即使已經設定禁止清單) 這個問題的原因在於處理禁止指令的時候過於簡單 額外的路徑跳脫即可繞過檢查 同時 Nvidia 修復了一個 CVE-2024-0132 安全問題[4] 這個問題允許駭客跳脫容器 (Container) 隔離限制而存取主機 (Host) 據分析這個套件約有 1/3 的雲端環境都安裝此套件 ## Hunt The IoT ## 根據研究分析[5] 約有 1.3m 台 Android-based 的電視遭受入侵 這些較不知名的 IoT 裝置 被安裝後門軟體 可能原因是使用未更新的 Android 系統、或者安裝不安全的第三方套件 ## Slack 表示：這不是我的錯 ... ## 根據報導[6] 迪士尼因為公司軟體開發經理的電腦被入侵 導致駭客得以存取公司內超過 1TB 的機密資料 迪士尼認為從 Slack 一致更精簡的協作平台可以解決問題 ## 新的密碼規則 ## NIST 有出新的密碼規則 NIST-800-63B[7] 其中包含 - 允許最多 64 字元 (SHOULD permit a maximum password length of at least 64 characters) - 允許可視字元 (SHOULD accept all printing ASCII) - 允許 Unicode (SHOULD accept Unicode) - 不建議定期更換密碼的機制 (SHALL NOT require users to change passwords periodically) - 不建議強加組合規則 (SHALL NOT impose other composition rules) [0]: https://401.tw/WRyS [1]: https://401.tw/ZPf9 [2]: https://nvd.nist.gov/vuln/detail/CVE-2024-9014 [3]: https://huntr.com/bounties/8a742c13-bb5e-4bc9-8b86-049d8a386050 [4]: https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability [5]: https://news.drweb.com/show/?i=14900&lng=en [6]: https://401.tw/TmF2 [7]: https://pages.nist.gov/800-63-4/sp800-63b.html#introduction --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.228.12 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1727739384.A.454.html ※ 編輯: CMJ0121 (111.242.215.135 臺灣), 10/04/2024 09:55:31