[闲聊] 资安双周报 241001

楼主: CMJ0121 (请多指教!!)   2024-10-01 07:36:21
==== 资安双周报 (241001) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- 4-CVE 1-CUPS
- pg(My)Admin
- Hunt The AI
- Hunt The IoT
- Slack 表示:这不是我的错 ...
- 新的密码规则
## 4-CVE 1-CUPS ##
Linux 知名软件 CUPS[0] 被发现有四个高分 CVE 漏洞
允许未授权远端使用者 替换/安装使用的打印机 进而达到 RCE
在 Github Security 上也有相对应的讨论[1]
## pg(My)Admin ##
PostgreSQL 的管理工具 pgAdmin 修补一个严重的安全性问题 CVE-2024-9014[2]
这个问题导致攻击者可以获得 OAuth2 的 ClientID / Secret 并导致获得未授权的资料
## Hunt The AI ##
AutoGTP 在针对 ML/AI 漏洞相关的 Huntr 专案中[3] 被提交一个 CVE-2024-6091 问题
可以导致 Command Injection 的状况 (即使已经设定禁止清单)
这个问题的原因在于处理禁止指令的时候过于简单
额外的路径跳脱即可绕过检查
同时 Nvidia 修复了一个 CVE-2024-0132 安全问题[4]
这个问题允许骇客跳脱容器 (Container) 隔离限制而存取主机 (Host)
据分析这个套件约有 1/3 的云端环境都安装此套件
## Hunt The IoT ##
根据研究分析[5] 约有 1.3m 台 Android-based 的电视遭受入侵
这些较不知名的 IoT 装置 被安装后门软件
可能原因是使用未更新的 Android 系统、或者安装不安全的第三方套件
## Slack 表示:这不是我的错 ... ##
根据报导[6] 迪士尼因为公司软件开发经理的电脑被入侵
导致骇客得以存取公司内超过 1TB 的机密资料
迪士尼认为从 Slack 一致更精简的协作平台可以解决问题
## 新的密码规则 ##
NIST 有出新的密码规则 NIST-800-63B[7]
其中包含
- 允许最多 64 字符 (SHOULD permit a maximum password length of at least 64 characters)
- 允许可视字符 (SHOULD accept all printing ASCII)
- 允许 Unicode (SHOULD accept Unicode)
- 不建议定期更换密码的机制 (SHALL NOT require users to change passwords periodically)
- 不建议强加组合规则 (SHALL NOT impose other composition rules)
[0]: https://401.tw/WRyS
[1]: https://401.tw/ZPf9
[2]: https://nvd.nist.gov/vuln/detail/CVE-2024-9014
[3]: https://huntr.com/bounties/8a742c13-bb5e-4bc9-8b86-049d8a386050
[4]: https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability
[5]: https://news.drweb.com/show/?i=14900&lng=en
[6]: https://401.tw/TmF2
[7]: https://pages.nist.gov/800-63-4/sp800-63b.html#introduction
作者: CP64 (( ̄▽ ̄#)﹏﹏)   2024-10-02 14:39:00
最后一个还有一项也挺重要的 不建议除了长度及允许字符类型以外的复杂度规则不过可以以字典档/关键字/过往外泄事件来过滤密码
楼主: CMJ0121 (请多指教!!)   2024-10-04 09:55:00
To 楼上大大:已补上 :)
作者: Klauhal (赤)   2024-10-05 19:17:00
可能是slack太贵但公司覆蓋率太高,找到机会痛一次换掉
作者: thomaschion (老汤)   2024-10-05 21:21:00
强加一堆规定的密码,干脆你生给使用者算了
作者: Klauhal (赤)   2024-10-05 22:03:00
其实是放宽密码要求,不再要求密码规则和定期变更

Links booklink

Contact Us: admin [ a t ] ucptt.com