楼主:
CMJ0121 (请多指教!!)
2025-04-15 10:30:34==== 资安双周报 (250415) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- Check your Check Point
- Path Traversal in AWS SSM
- 越来越短的凭证
## ======== Check your Check Point ======== ##
以色列网络安全公司 Check Point 回复骇客宣称的资料窃取事件[0]
骇客宣称窃取了公司大量数据 包含专案文件、凭证、原始码等资讯
并提出 5BTC 的价格出售资料
公司针对说法作出回应 称这些并非来自新的入侵结果
而且骇客夸大了窃取资料的重要程度
## ======== Path Traversal in AWS SSM ======== ##
业者 Cymulate [1] 发现一个 AWS SSM 的 Path Traversal 安全漏洞
攻击者可以透过建构 恶意的 plugin ID 当作跳脱路径
进而建构资料夹与可执行档案
官方宣称[2] 此漏洞会沿用原本使用者的权限
无法达到跳脱权限的攻击
## ======== 越来越短的凭证 ======== ##
根据报导[3] 自 2029 年之后 SSL/TSL 凭证最多只会有 47-day 有效期限
根据目前提案 凭证的有效期限如接下来的时程
- 2026/Mar 之后 ~ 6mo
- 2027/Mar 之后 ~ 3mo
- 2029/Mar 之后 ~ 1.5mo (47 days)
[0]: https://arc.net/l/quote/flokdkzl
[1]: https://cymulate.com/blog/aws-ssm-agent-plugin-id-path-traversal/
[2]: https://thehackernews.com/2025/04/amazon-ec2-ssm-agent-flaw-patched-after.html
[3]: https://www.thesslstore.com/blog/47-day-ssl-certificate-validity-by-2029/