一周网安动态【20220103】|点击了解网络安全资讯
一周网安动态
Weekly Network Security
2022-01-03 周一
20211227-20220103
LEISHI
# 内容预览 #
Part1
1.中央网信委印发《“十四五”国家信息化规划》
2. 全国信安标委征求国家标准《信息安全技术 信息系统密码应用设计技术要求》(征求意见稿)意见
3.公安部召开部长办公会议强调:加强关键信息基础设施安全保护工作
4.工信部调研检查北京2022年冬奥会网络安全保障工作
Part2
1.空网交集:美军部署网络防御部队执行飞行保障任务
2.美国陆军网络部队正在构建战术网络作战概念
3.法国CNIL发布支付服务数据保护白皮书
4.针对巴西Itaú Unibanco银行客户的新Android恶意软件
Part3
1.国家漏洞库CNNVD:关于Apache Apisix 授权问题漏洞的预警
2.注意!Gerapy 操作系统命令注入漏洞
3.高危!Wiki.js 多个跨站脚本漏洞
4.Zyxel NBG6604 信息泄露漏洞
# 国内资讯 #
01
中央网信委印发
《“十四五”国家信息化规划》
近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。
消息来源:https://mp.weixin.qq.com/s/GIYSx-bZZcNetlozqgljKA
02
全国信安标委征求国家标准
《信息安全技术 信息系统密码
应用设计技术要求》(征求意见稿)意见
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 信息系统密码应用设计技术要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。
消息来源:https://mp.weixin.qq.com/s/MfMxKKUHCAk9j4KhoZdT7Q
03
公安部召开部长办公会议强调:
加强关键信息基础设施安全保护工作
国务委员、公安部部长赵克志27日主持召开公安部部长办公会议,研究部署加强关键信息基础设施安全保护工作,审议《公安机关贯彻落实防止干预司法“三个规定”实施细则(试行)》、《关于依法惩治侵害英雄烈士名誉、荣誉违法犯罪的意见(草案)》和《公安部关于进一步加强公安信访工作的意见》。
消息来源:https://www.secrss.com/articles/37640
04
工信部调研检查北京
2022年冬奥会网络安全保障工作
12月17日和21日,为进一步做好北京2022年冬奥会和冬残奥会(以下简称北京冬奥会)网络安全保障工作,工业和信息化部网络安全管理局赴中国信通院和中国联通调研检查北京冬奥会网络安全保障工作情况。
消息来源:https://www.secrss.com/articles/37725
# 国外资讯 #
01
空网交集:美军部署网络
防御部队执行飞行保障任务
美国网络司令部10月部署空军第16航空队第800网络保护团队(CPT),为欧洲轰炸机特遣部队第9远征轰炸中队的B-1B“枪骑兵”战略轰炸机提供关键数据防护支持。该团队通过配置网络武器系统来收集飞机系统上日志和流量,并通过搜索和强化战略轰炸机上的系统来确保组件不受任何对手活动的影响,从而缓解了战略轰炸机关键任务系统中的漏洞,并进一步加强了抵御未来恶意网络活动的能力。
消息来源:https://www.secrss.com/articles/37701
02
美国陆军网络部队
正在构建战术网络作战概念
马克Pomerleau,2021年12 月 30 日,印第安纳州马斯卡塔图克城市训练中心——在与技术劣势和以叛乱为重点的对手进行了近二十年的冲突之后,美国军方和陆军正在磨练他们的网络训练,以对抗更复杂的部队。
消息来源:https://www.secrss.com/articles/37781
03
法国CNIL发布支付服务数据保护白皮书
法国数据保护机构国家信息自由委员会(CNIL)10月6日宣布,已发布关于支付服务领域数据保护的白皮书,并就此展开了公众咨询。CNIL 特别强调,该白皮书面向公众和支付服务专业人士,旨在解决与支付服务中数据使用相关的主要经济、法律和社会挑战。白皮书还审查了CNIL关于支付领域通用数据保护条例GDPR的法律指南,并介绍了支持该领域专业人士的途径。
消息来源:https://www.secrss.com/articles/37732
04
针对巴西Itaú Unibanco
银行客户的新Android恶意软件
研究人员发现了一种新的Android银行恶意软件,该恶意软件以巴西的Itaú Unibanco为目标,借助类似的Google Play商店页面,在他们不知情的情况下在受害者设备上进行欺诈性金融交易。
消息来源:
https://thehackernews.com/2021/12/new-android-malware-targeting-brazils_27.html
# 威胁情报 #
01
国家漏洞库CNNVD:
关于Apache Apisix 授权问题漏洞的预警
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Apisix 授权问题漏洞(CNNVD-202112-2629、CVE-2021-45232)情况的报送。成功利用漏洞的攻击者,可以在未经授权的情况下获取或更改设备的配置信息,进而构造恶意数据对目标设备进行攻击。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
消息来源:https://www.secrss.com/articles/37700
02
注意!Gerapy 操作系统命令注入漏洞
Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。2021年12月29日,在互联网上监测到一则关于Gerapy 0.9.8之前版本存在操作系统命令注入漏洞的信息。漏洞编号:CVE-2021-43857,漏洞威胁等级:严重。
消息来源:https://mp.weixin.qq.com/s/SJFayALnZKCymEXGB_cBXw
03
高危!Wiki.js 多个跨站脚本漏洞
2021年12月29日,360漏洞云团队在互联网上监测到一则关于Wiki.js 中存在两个跨站脚本漏洞的信息。漏洞编号:CVE-2021-43856、CVE-2021-43855,漏洞威胁等级:高危,漏洞评分:8.2。
消息来源:https://mp.weixin.qq.com/s/Z_cUTH52CXUprGpaW-kU8A
04
Zyxel NBG6604 信息泄露漏洞
在TOTOLink设备中发现了两个安全漏洞,一个允许在不需要攻击者知道设备凭据的情况下启动服务,第二个漏洞是为服务设置的默认凭据,允许对设备进行root访问。
消息来源:https://www.seebug.org/vuldb/ssvid-99418
END
点击关注
一周网安动态由雷石安全实验室汇总整理
信息来源:
安全内参,安全客、中国信息安全、cnbeta、seebug,hacknews、freebuf