六月安全动态

发布时间:2020-06-09 点击数量:

1、国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库CNVD-BC

  6月3日,国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库。CNVD区块链漏洞子库由国家互联网应急中心运营,当前已收录区块链相关漏洞247个,其中高危漏洞60个,中危漏洞173个,低危漏洞14个。CNVD区块链漏洞子库充分依托国家级网络安全资源,为我国区块链行业安全保障工作提供重要技术支撑和数据支持。来源:https://www.cnvd.org.cn/webinfo/show/5557

 

2、VMware Cloud Director严重漏洞可导致黑客接管企业服务器

  6月2日网络安全研究员在 VMware 的 Cloud Director 平台上发现了一个新漏洞,可导致攻击者获得对敏感信息的访问权限并控制整个基础设施中的私有云。该漏洞的编号是 CVE-2020-3956,是一个代码注入缺陷,因不正确的输入处理而导致,可被通过身份验证的攻击者将恶意流量发送给 Cloud Director,从而导致任意代码执行的后果。该漏洞的 CVSS v3 评分为8.8 分,属于“严重”漏洞级别。(来源:互联网安全内参)

 

3、漏洞补丁 思科 nexus以太网交换机

  近日,思科在其网络操作系统NX-OS软件中修补了一个严重缺陷,该系统被思科nexus系列以太网交换机所使用。如果利用该漏洞,未经身份验证的远程攻击者可以绕过在受影响的Nexus交换机上配置的输入访问控制列表(ACLs),并对设备发起拒绝服务(DoS)攻击。思科周一(6月1日)发布的安全报告称,该漏洞(CVE-2020-10136)源于思科NX-OS软件的网络堆栈。(来源:https://www.easyaq.com/fastinfo

 

4、漏洞补丁 VMware Cloud Director 代码注入

  6月2日,东方联盟网络安全研究人员披露了VMware Cloud Director平台中一个新漏洞的详细信息,该漏洞可能使攻击者能够访问敏感信息并控制整个基础架构中的私有云。代码注入漏洞被追踪为CVE-2020-3956,其源于不正确的输入处理,该输入处理可能被经过身份验证的攻击者滥用以将恶意流量发送到Cloud Director,从而导致执行任意代码。CVSS v.3漏洞严重性等级中评分为8.8。(来源:https://www.cnblogs.com/hacker520/p/13032873.html

 

5、台湾发生重大个人数据泄露事件,84%公民信息出现在暗网

  威胁情报机构Cyble声称,经验证属于2000万中国台湾人民的敏感个人数据已出现在暗网市场上,包含个人的全名、邮政地址、电话号码、身份ID、性别和出生日期。如果Cyble的观察得到证实,则泄漏将成为有史以来最大规模的公众数据泄露事件之一,另外一次超大规模公众数据泄露发生于2015年,由于一个配置错误,面向公众的数据库中暴露了1.91亿美国选民的类似敏感个人数据。(来源:互联网安全内参)

 

6、美国 《5G安全国家战略》发布

  近期美国白宫发布了《5G安全国家战略》,确定了美国如何保护国内外5G基础设施的安全框架。该文件阐述了美国政府及总统特朗普的5G安全愿景,即与合作伙伴和盟友合作,引领在全球范围内开发、管理和部署安全可靠的5G信息基础设施。当天特朗普首先签署了《5G安全和超越法案》,发布5G安全国家战略是该法案要求的第一步工作。5G安全国家战略中共有4项重要工作,包括促进美国国内5G部署、评估5G基础设施风险并确定核心安全原则、解决全球5G基础设施开发和部署过程中给美国经济和国家安全带来的风险问题、促进负责任的全球发展和安全可靠的5G基础设施的部署。(来源:安全牛)