2020版《网上银行系统信息安全通用规范》;Apache Tomcat文件包含漏洞(CVE-2020-1938)
发布时间 2020-02-211.中国人民银行发布2020版《网上银行系统信息安全通用规范》
中国人民银行下发《关于<网上银行系统信息安全通用规范>行业标准的通知》(银发[2020]35号),发布新版《网上银行系统信息安全通用规范》(JR/T 0068-2020),该版本是2012版规范(JR/T 0068-2012)的替换修订版本。新版规范有三个重点修订内容:1、针对新技术出现和应用提出了新的安全要求(例如增加了虚拟化、云计算安全相关要求,增加国密SM系列算法相关的安全要求,增加对安全单元和移动终端支付可信环境相关要求);2、就新的业务和监管要求进行了补充和明确(例如增加了条码支付、交易安全锁和Ⅱ、Ⅲ类账户的相关要求);3、重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求。
原文链接:
https://www.cebnet.com.cn/20200219/102639904.html
2.思科智能软件管理器特权账户和静态密码,建议立刻修复
思科修复其智能软件管理器(SSM)中的特权账户静态密码漏洞,该漏洞(CVE-2020-3158)的CVSS评分为9.8分,它可能允许远程攻击者使用特权较高的帐户访问系统的敏感部分。思科表示,“该漏洞是因为某系统账户具有默认和静态密码且并不受系统管理员控制而造成的。”SSM On-Prem系统只有在启用了高可用性(HA)功能时才易受攻击,但该功能默认未启用。思科警告称,攻击者不需要有效的登录就可以发起攻击,并且可以使用高特权默认帐户来连接易受攻击的系统,获得对系统数据的读写访问权限,并更改其设置。
原文链接:
https://www.zdnet.com/article/cisco-critical-bug-static-password-in-smart-software-manager-patch-now-says-cisco/
3.Adobe发布紧急安全更新,修复两个代码执行漏洞
Adobe发布紧急安全更新,修复其产品中的两个代码执行漏洞。第一个漏洞(CVE-2020-3764)是可导致任意代码执行的越界写漏洞,该漏洞影响了Windows平台上的Adobe Media Encoder 14.0及更早版本。第二个漏洞(CVE-2020-3765)也是由越界写导致的代码执行漏洞,但攻击只能在当前用户的上下文中进行,该漏洞影响了Windows平台上的Adobe After Effects版本16.1.2及更早版本。
原文链接:
https://www.zdnet.com/article/adobe-releases-out-of-schedule-fixes-for-critical-vulnerabilities/
4.Apache Tomcat文件包含漏洞(CVE-2020-1938)
Apache Tomcat服务器存在文件包含漏洞(CVE-2020-1938),攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如:webapp配置文件或源代码等。该漏洞与Tomcat AJP协议有关,Tomcat AJP Connector默认配置下即为开启状态,并且监听端口8009。该漏洞影响了Tomcat 6/7/8/9全版本,Apache官方已发布9.0.31、8.5.51及7.0.100版本针对此漏洞进行修复,建议用户下载使用。由于Tomcat 6已经停止维护,建议用户升级到最新受支持的Tomcat版本以免遭受攻击。
原文链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487
5.美国参议员提出新数据保护法案,建议成立数据保护局
美国纽约州参议员吉尔斯布兰德(Kirsten Gillibrand)上周发布了一项立法草案,该法案将建立一个独立的联邦机构,即数据保护局,旨在定义、仲裁和执行数据保护规则。这位参议员认为,《联邦贸易委员会法》并未解决数据保护方面的挑战,而美国在应对数据保护挑战和数字时代的许多其它挑战方面落后,美国也没有一个专门的机构来执行数据隐私规则。如果该法案获得通过,将适用于任何收入超过2500万美元,或管理5万或更多人的个人数据的公司。
原文链接:
https://cyware.com/news/us-senator-proposes-new-data-protection-bill-37232e0b
6.哥伦比亚Community Care遭勒索攻击,患者数据可能泄露
哥伦比亚首都地区最大的独立医疗机构Community Care患者数据可能泄露,该事件是由其会计师事务所BST遭到勒索软件攻击导致的。BST于2019年12月7日发现包含客户会计和税收数据在内的部分网络感染了勒索病毒,但该公司能够使用备份还原文件。在之后的调查中,该公司于2月5日确认部分患者的信息可能泄露,这些信息包括姓名、生日、条目号码和帐单代码,但不包含银行帐号、社会安全号码和病历信息。BST或Community Care都没有透露受影响的患者人数。
原文链接:
https://dailygazette.com/article/2020/02/19/data-breach-community-Care-physicians
京公网安备11010802024551号